Descomplicando a Segurança Digital - Hugo Carvalho

Prévia do material em texto

UM GUIA SIMPLES E DIVERTIDO
DESCOMPLICANDO A
SEGURANÇA DIGITAL
HUGO CARVALHO
© Hugo Carvalho
Dedico este livro aos meus pais que sempre acreditaram no
meu potencial e abriram mão de muitas coisas para que eu
pudesse estudar e me dedicar a ser um profissional de
tecnologia apaixonado por tudo que faço.
Um agradecimento especial ao amigo Arthur Gomes pela
concepção da capa deste livro. Ficou incrível!
Hugo Carvalho
Para quem é este livro?
Este livro foi elaborado por uma pessoa extremamente
técnica que se esforça ao máximo para trazer analogias e
uma linguagem simples e de fácil compreensão mesmo
para os não técnicos. Costuma funcionar! Não vou mentir.
As pessoas da área de engenharia/computação terão muito
mais facilidade. Mas não deixe isso te desestimular! O
assunto tratado neste livro é extremamente relevante (e
interessante), seja para técnicos, seja para não técnicos.
Conhecer os assuntos aqui mencionados é a garantia de um
sono mais tranquilo e também um diferencial em qualquer
carreira que interaja com o mundo digital (praticamente
todas hoje em dia).
Í
Índice
0 - Sobre o Autor
1 - Introdução
2 - O ambiente de ameaças e vulnerabilidades
3 - Conhecendo o inimigo
4 - Ferramentas de defesa e boas práticas
5 - Segurança no dia a dia
6 - Casos Reais e curiosidades
7 - Conclusões
0 - Sobre o Autor
Hugo Carvalho é um profissional apaixonado por tecnologia,
que desde criança é fascinado pelo poder que o mundo
digital agrega as pessoas e facilitam suas vidas. Ele já se
aventurou (e fracassou) pelos mais diversos cenários e
empresas, trabalhando como pesquisador em tecnologia,
desenvolvedor, empreendendo, e ultimamente dirigindo a
área de TI de uma grande empresa brasileira. Em sua
carreira, também já passou por grandes empresas como a
Amazon Web Services, onde foi o responsável técnico por
todas as Startups que utilizam cloud na America Latina nos
mais diversos estágios de maturidade e foi o arquiteto de
soluções responsável pela conta do Nubank, um dos
maiores unicórnios brasileiros.
Já recebeu com uma de suas startups o prêmio de Jovem
Empreendedor do jornal O Globo e da FGV e também teve
uma de suas startups eleita como a melhor startup do Brasil
em 2014 no Desafio Brasil, onde concorreu com mais de
1000 startups de todo o país.
Hugo possui mestrado e graduação Universidade Federal do
Rio de Janeiro na área de computação em nuvem e
engenharia de computação. Tem uma especialização em Big
Data pela Fundação Getúlio Vargas e nas escassas horas
livres, gosta de estudar sobre segurança, computação em
nuvem e desenvolvimento de software. Recentemente, tirou
a certificação da Amazon Web Services de especialista em
segurança, o que ratifica ainda mais a validade e
confiabilidade dos conteúdos desse livro.
1 - Introdução
Ninguém está seguro na Internet. Ninguém nunca
esteve. Ninguém nunca estará seguro na Internet.
Todos sabemos disso. Mas todos nos esquecemos
disso, pois todos nos acomodamos com isso.
- Frase sem autor, encontrada na Internet. Onde não
estamos seguros.
A única certeza que podemos ter no mundo digital é que em
algum momento vamos temer por nossa segurança e
teremos nossos dados comprometidos. A quantidade de
ataques digitais cresce exponencialmente, em uma eterna
briga de gato e rato entre os atacantes e as empresas de
segurança. Não é uma questão de se acontecer. É uma
questão de quando vai acontecer.
Diferente de antigamente, quando os atacantes possuíam
um baixo poder de fogo e precisavam estudar muito a fundo
um alvo que recompensasse o esforço necessário para um
ataque, hoje em dia existem ferramentas automatizadas
(que podem por exemplo serem adquiridas na Dark Web por
alguns Bitcoins) que realizam incessantes varreduras na
Internet em busca de dispositivos vulneráveis. Aquela figura
do hacker do mal nerd, profundo conhecedor de tecnologia,
cheio de espinhas e com péssimo traquejo social, foi
somada aos hackers do mal “ gourmet”, que usam e
abusam da engenharia social e de ferramentas prontas que
fazem todo o trabalho sujo, só restando para esses
atacantes colher os seus lucros. Agora mesmo uma pessoa
com pouco conhecimento técnico, mas com algum dinheiro,
já pode fazer parte deste lucrativo mercado dos crimes
virtuais.
Adicionalmente, o mundo caminha para um cenário ainda
mais conectado. O mundo da década de 1990, quando era
difícil ter uma residência com um computador ainda mais
difícil ter um computador com acesso à Internet (discada
por sinal), deu espaço para um mundo com residências com
Internet rápida (banda larga ligada 24x7) e com dezenas de
dispositivos conectados à rede, desde os celulares,
passando por notebooks, tablets, TVs, roteadores sem-fio,
fechaduras e até geladeiras. Um prato cheio para os
atacantes, que possuem uma superfície de ataque ainda
maior para buscar por vulnerabilidades.
Finalmente, outra mudança fundamental é o uso da
tecnologia para transitar e armazenar informações
sensíveis. Antigamente, vivíamos no mundo off-line, com
fotos impressas em lojas, muitos cadernos e coisas escritas
na máquina de escrever. Hoje em dia, temos tudo em
nossos meios digitais. Fotos, vídeos, acesso ao banco,
acesso ao cartão de crédito, trocas de mensagem,
documentos, etc.
Hoje em dia, o grande desafio para a segurança (minha e
sua) e do usuário geral se resume a se tornar um alvo
menos apetitoso para os ataques existentes. Não podemos
ser aquele personagem frágil que sempre morre primeiro
nos filmes de terror. E não seremos se seguirmos à risca
todo o conteúdo desse livro. Espero que o processo seja
divertido e ao mesmo tempo lhe traga ferramentas e
reflexões que o diferenciem. Para quem não aplicar tudo,
ficarei satisfeito se você pelo menos se conscientizar de
todas ameaças existentes e seja mais cauteloso ao tomar
ações no mundo digital, medindo as possíveis
consequências. Que um atacante te ache um alvo
desinteressante e busque outra pessoa para infernizar a
vida.
O livro começa com algumas definições básicas sobre o que
é a privacidade no mundo de hoje em dia, assim como a
anonimidade e a pseudo-anonimidade. Vamos explicar
sobre o mundo atual e as diversas ameaças existentes,
assim como alguns conceitos básicos da área de segurança
e um modelo conhecido como Modelo de Zero-Confiança.
Vamos te ajudar a não ser mais uma vítima em potencial.
Desenvolver instintos de segurança e proteger melhor seus
ativos. Para que você entenda todo o panorama, vamos
explicar em detalhes e com exemplos do mundo real as
formas de ameaça mais utilizadas por atacantes, assim
como as melhores ferramentas e processos para se
proteger. Por fim, você terá acesso a um material muito rico
sobre como se proteger e ter segurança nas suas diversas
interações com o mundo digital como os notebooks,
desktops, smartphones, redes sem fio, etc.
2 - O ambiente de ameaças e
vulnerabilidades
Se você colocar uma chave embaixo do tapete para a
polícia, um bandido também pode encontrá-la.
Criminosos estão usando todas ferramentas
tecnológicas que estão ao seu alcance para hackear
contas pessoais. Se eles sabem que existe uma
chave escondida em algum lugar, eles não vão parar
até encontrar essa chave.
- Tim Cook
Uma análise sobre você mesmo
Vamos começar com um experimento. Quero que você
pegue um papel (ou mentalmente se você for um ninja. Ou
um bloco de notas no computador) e faça algumas reflexões
e anotações. Não, isso não é um livro de auto-ajuda. Bom,
talvez seja ;). 
Inicialmente, quero que você pense em você, em sua
família, na empresa onde você trabalha ou é dono. Se você
é alguém técnico, quero que você também pense nos
sistemas que você desenvolve ou é responsável. Para cada
um deles, defina:
❖   O que é mais confidencial?
❖   O que você não aceita perder?
❖   O que é insubstituível?
❖   O que poderia causar mais dano?
❖   O que poderia impactar a sua reputação?
Alguns exemplos para inspirar:
❖   Fotos e vídeos;
❖   Dadosde cartão de crédito;
❖   Contas em banco e corretoras de investimento;
❖   Cópias de documentos pessoais, PF, Identidade,
CNH;
❖   Contas em sites como Linkedin, Facebook,
PagSeguro, Mercado Livre, etc.;    
❖   Segredos empresariais;
❖   Contas de email;
❖   Carteira de Bitcoin ou outras criptomoedas;
❖   Senhas;
❖   Dados financeiros;
❖   Aquele Post-it grudado no monitor com a senha do
banco.
Aposto que ao refletir, você percebeu que existem muitas “
coisas” (vamos chamar essas coisas de ativos) que você dá
valor (e quanto valor!).
No contexto de segurança da informação, ativos são
elementos que devem ser avaliados e protegidos, como por
exemplo: dados, informações, equipamentos (hardware),
código (software) e as pessoas que estão envolvidas nos
processos relacionados. Esse é o primeiro passo para a
segurança. Você precisa entender os seus objetivos de
segurança e quais medidas você precisa tomar para
garantir que as coisas que você dá valor (com um alto grau
de importância) tenham os cuidados de segurança
proporcionais a essa importância. Por exemplo, você não
quer ter seus dados de cartão de crédito roubados, senão
alguém pode efetuar uma compra no seu nome e você terá
que pagar injustamente um enorme valor para a operadora
do cartão. Fora toda a dor de cabeça de ter que solicitar um
novo cartão, ter problemas de cobrança em serviços de
assinatura que estavam vinculados com o cartão, dentre
outros.
Você não quer que a inocente foto do seu filho em uma rede
social vá parar em uma rede de crimes de pedofilia ou que
aquela sua foto ou vídeo em um momento íntimo vá parar
em um grupo de Whatsapp. Durante o livro, vamos
entender como podemos fazer um esforço para atribuir
segurança aos ativos que você mais dá valor e que
apresentam os maiores riscos. Dado que o tempo é limitado
e que é impossível ter algo 100% seguro, devemos focar
nossos esforços na segurança dos ativos de maior valor.
Não vale a pena fazer o backup de um artigo que está
amplamente disponibilizado na Internet, assim como não
faz sentido aplicar uma criptografia poderosa para proteger
a foto do seu cachorro brincando com uma bolinha.
Devemos concentrar nossos esforços nos ativos que
realmente precisam de segurança e no grau de segurança
necessário para cada ativo. Após ler cada pedacinho desse
livro, aproveite para rever a sua lista de ativos. Entenda e
anote o que pode ser feito para melhorar a segurança
desses ativos a cada avanço na leitura.
Privacidade, Anonimidade e
Pseudo-Anonimidade
No mundo da segurança, existem alguns conceitos que
muitas vezes se misturam. Vamos defini-los de uma vez por
todas por aqui. O conceito de privacidade é relacionado com
tudo que você quer manter privado, de forma sigilosa ou
secreta. Uma analogia para a privacidade é a sua casa. Se
você morar sozinho, ninguém sabe o que você faz dentro da
sua casa. Isso é privado. No entanto, muita gente sabe que
você mora na sua casa, o endereço, número, etc. Nesse
caso, você tem privacidade em casa, mas não anonimidade.
Anonimidade tem relação com as pessoas não saberem
quem você é, mas ao mesmo tempo essas pessoas podem
saber o que você fez/faz. Anonimidade tem relação com
você separar suas ações e atividades da sua identidade
real. Um exemplo seria um ativista que se conecta através
de uma rede que busca garantir a anonimidade (como a
rede Tor, que explicaremos mais adiante no livro), acessa
um site que permite comentários e comenta sobre algum
tema polêmico ou proibido no país onde esse ativista está
localizado. A mensagem está aberta a todos (não temos
privacidade), mas as pessoas dificilmente descobrirão quem
enviou a mensagem (anonimidade). Na Internet, um
fenômeno comum é o da falsa sensação de anonimato.
Existem diversos casos de pessoas que criam perfis falsos
para disseminar ódio ou conteúdo preconceituoso. Essas
pessoas acham que estão anônimas. Para esses casos,
existem formas de rastrear esse usuário como por exemplo
através do endereço IP e de informações que o próprio
navegador web pode entregar como o modelo do dispositivo
que está sendo usado, seu sistema operacional, etc. Em
alguns cenários, podemos pensar ainda na pseudo-
anonimidade.
A pseudo-anonimidade existe no contexto de você querer
ter uma presença digital (e uma reputação digital), com um
conjunto de ações vinculados com um perfil. Mas ao mesmo
tempo você não quer que as pessoas vinculem esse perfil
com a sua pessoa física. Um exemplo seria uma pessoa que
tem um blog de finanças onde ela coloca informações sobre
investimentos pessoais, como quanto dinheiro essa pessoa
tem no banco e qual a alocação de sua carteira de
investimentos. Para proteger a sua própria segurança, essa
pessoa cria um perfil “ fake" chamado de “ investidor
ousado”. Ela cria uma conta de email para esse perfil, um
blog, etc. E se preocupa sempre em não expor informações
demais para que terceiros não consigam vincular o perfil
virtual com o perfil real da pessoa. Todos na comunidade de
finanças podem conhecer o investidor ousado e suas ações,
mas eles terão dificuldade em identificar a pessoa por trás
desse personagem.
Um famoso exemplo de um pseudo-anônimo reconhecido na
Internet é o Satoshi Nakamoto, o misterioso criador do
Bitcoin. Ele é um pseudônimo usado por alguém (ou um
grupo de pessoas) para divulgar na Internet o design do
Bitcoin e seu guia de implementação. Até hoje, ninguém
sabe quem é o responsável pelo perfil, apesar de que os
conhecimentos e os mecanismos propostos por esse perfil
estão sendo responsáveis por uma das grandes revoluções
na Internet, através das criptomoedas e da tecnologia de
Blockchain.
Segurança, ameaças e
vulnerabilidades
Uma forma bem interessante de se analisar a segurança é o
modelo de segurança em camadas ou modelo em cebola. É
como uma cebola. No nível de ativos, temos todos os ativos
que damos valor, e o tipo de privacidade ou anonimidade
que desejamos. Para garantir a segurança desses ativos,
precisamos nos munir de ferramentas de segurança, como
Firewalls, Criptografia, rede Tor, autenticação em duas
etapas, etc. Esses mecanismos de segurança são utilizados
para nos proteger de ameaças como Vírus, Phishing,
Exploits, Malware, Backdoors, Espionagem(não se preocupe,
vamos explicar cada um deles durante o decorrer do livro).
E por fim, essas
ameaças são feitas por adversários (ou potenciais
adversários), como hackers, crackers, espiões, criminosos,
máfia, regimes opressores, colegas de trabalho invejosos,
ex-parceiros, etc.
O modelo é o seguinte. Para cada ativo, temos que
identificar quais ameaças se encaixam, e quem são os
adversários que poderiam querer violar nossos ativos. Na
sequência, precisamos ter a capacidade de identificar e usar
os mecanismos de segurança que protejam esses ativos dos
adversários potenciais que se utilizarão de formas de
ameaça para nos comprometer. Os atacantes tentarão
explorar falhas (losangos vermelhos-escuro na imagem) na
sua segurança para atingir esse fim. Por exemplo, para
garantir a segurança de uma foto privada  (ativo), você
pode utilizar o mecanismo de segurança Criptografia para
se proteger de uma ex-cônjuge (nesse caso um adversário)
que tente te espionar (ameaça) para ter acesso a essa foto.
Dadas essas informações (eu sei, sopa de letrinhas),
podemos definir uma importante variável chamada Risco. O
risco é definido como:
Risco = Vulnerabilidades X Ameaças X Consequências
Para cada ativo, precisamos calcular seu risco e entender
que não existe um modelo único de segurança para todo
mundo. Cada um precisa avaliar os seus riscos pessoais,
para sua família e para a sua empresa. Só os mecanismos
de segurança por si não garantem o controle total do risco.
A segurança não é só uma tecnologia, mas também é o
conjunto de ações que você toma e também os processos
que você segue. Parece difícil, mas aposto com você que
até o final do livro você estará com esse modelo claro,e
estará até discutindo com outras pessoas sobre os riscos,
ameaças e medidas de segurança. Esse é um assunto muito
interessante!
Dica do Autor: Antes de avançar, é hora de rever a sua lista
de ativos e começar a calcular o risco relacionado com cada
ativo.
Nada é 100%
Depois de estudar sobre todo esse ambiente envolto em
ferramentas de segurança, ameaças, adversários e ativos,
você pode estar com uma pergunta na cabeça: “ Consigo
ter algo 100% seguro?”. E a resposta é simples: não. Temos
sempre que aceitar que é impossível fazer um sistema ou
plataforma 100% segura. É impossível pensar em um
ambiente que tem 0% de risco. Se alguém te vender algo
100% seguro, fuja!
Na prática, a segurança é uma grande balança, onde você
precisa ponderar a facilidade de uso com o grau de
segurança. Quanto mais seguro, mais complexo o uso (ou a
manutenção). Imagine que você precisa digitar uma senha
complexa e depois digitar um código SMS enviado para o
seu celular para acessar cada uma das fotos de paisagem
que você tirou nas férias. Não seria nada prático ter esse
processo de segurança para garantir a privacidade dessas
fotos (que em teoria não teriam valor para um atacante e
nem riscos para você caso elas vazassem na Internet). A
usabilidade ultra complicada faria você desistir de ver suas
fotos. Mas se esse mesmo mecanismo de senha complexa +
código SMS for utilizado para acessar a conta do seu banco
via Internet, essa perda de usabilidade parece fazer sentido
visto a sensibilidade do conteúdo protegido. Esse é o
balanço da segurança que sempre devemos levar em
consideração.
Aposto que nesse segundo cenário, toda essa burocracia de
segurança não gera tanto incômodo. Durante o livro, vamos
navegar profundamente na área se segurança para que
você consiga:
❖      Selecionar mecanismos de segurança aderentes aos
riscos e ao grau de importância de seus ativos;
❖     Implementar esses mecanismos;
❖      Verificar se os mecanismos estão funcionando 
Monitorar a eficiência do que foi implementado.
Conseguimos ter Segurança,
Privacidade e anonimidade ao
mesmo tempo?
Infelizmente, equilibrar segurança, privacidade e
anonimidade é um grande desafio. Por exemplo, podemos
instalar em nosso computador um software anti-malware
que verifica se os sites que acessamos em nosso
computador são seguros. Esse software é muito importante
para a segurança, pois bloqueia conteúdos perigosos antes
que eles sejam acessados. No entanto, para nos proteger, o
fabricante do anti-malware pode ter acesso ao nosso
histórico de navegação, o que compromete a nossa
privacidade. Portanto, concluímos que você deve avaliar
seus ativos e entender o correto balanço de cada um desses
pontos para cada um de seus ativos. Para celebrar o fim
desta seção, vamos terminar com uma frase do Bruce
Schneier sobre privacidade (tradução em texto livre):
Privacidade não é sobre esconder algo. É sobre ser capaz de
controlar como nós nos apresentamos para o mundo. É
sobre manter uma aparência pública ao mesmo tempo
podendo ter pensamentos e ações privadas. É sobre
dignidade pessoal.
O que os nossos ativos precisam
obter das ferramentas de
segurança?
Os nossos ativos precisam ser protegidos pelos mecanismos
de segurança. Esta segurança pode vir embalada no que
chamamos de atributos de segurança. Os principais
atributos são:
❖     Confidencialidade;
❖     Integridade;
❖     Disponibilidade.
Na área de segurança, esses três componentes são
chamados de tríade CIA ( confidentiality, integrity and
availability ). A confidencialidade regula o acesso à
informação. A integridade é a segurança de que a
informação é confiável e acurada e a disponibilidade é a
garantia que o seu ativo poderá ser acessado pelas pessoas
que tem autorização de acesso.
Confidencialidade
A confidencialidade está relacionada intimamente com o
conceito de privacidade que mencionamos anteriormente.
As medidas tomadas para garantir a confidencialidade são
sempre associadas ao objetivo de prevenir que pessoas
indevidas acessem informações indevidas. E que as pessoas
 que podem acessar a informação
consigam acessa-la. Como exemplo de métodos de
confidencialidade, podemos citar:
❖     Criptografia, ou “ codificar" uma informação;
❖     Uso de usuário e senha para restringir o acesso;
❖      Autenticação de dois fatores (como receber um
código SMS pelo celular para confirmar uma ação);
❖     Verificação biométrica como em alguns smartphones
com sensores biométricos;
❖     Reconhecimento facial.
Dependendo do risco envolvido e do grau de importância do
ativo protegido, podem ser necessárias medidas
complementares para garantir um alto nível de
confidencialidade como:
❖      Armazenar a informação em um diretório
criptografado dentro do seu computador;
❖      Armazenar a informação em um dispositivo offline
com segurança de hardware como o DL3FE que é um
HD externo de alta performance com processadores
criptográficos com segurança de hardware, código de
desbloqueio e auto-destruição de dados em caso de
violação física.
Integridade
A integridade está relacionada com a consistência e a
precisão de uma informação. A informação não pode ser
modificada ao ser transferida e/ou ao ser armazenada. E
caso isso ocorra, devemos ter mecanismos para garantir
que essa “ corrupção” de dados seja detectada.
Imagine que você comprou um celular novo em folha em
um site online. A vendedora do produto embala o seu novo
celular em uma caixa com papel bolha e envia pelos
correios. No entanto, quando o pacote chega na sua casa,
você verifica que durante o trajeto, alguém pegou o seu
celular e colocou um tijolo em seu lugar. Incrivelmente, esse
tipo de crime é algo bem comum. Nesses momentos, a
vontade é de usar o tijolo para violar a “ integridade” de
quem furtou seu celular. Nesse caso, claramente a
integridade foi afetada e ficou claro para você que o
conteúdo do pacote foi adulterado. Mas em uma evolução
desse modelo, uma pessoa com más intenções poderia
substituir o aparelho celular por um aparelho idêntico, mas
que, no entanto, possui um software espião instalado, que
pode gravar o seu áudio, gravar sua localização, gravar a
sua câmera e ler suas mensagens. Nesse caso, seria bem
difícil detectar essa violação de integridade. Existem alguns
casos reportados de cônjuges ciumentos que dão de
presente ao seu parceiro um celular modificado para que
possam rastrear ligações, câmera, localização, etc. Todo
cuidado é sempre pouco!
Alguns exemplos de mecanismos para auxiliar na
manutenção da integridade são (nesse caso mais aplicadas
no contexto de engenharia da computação):
❖      Controle de versão, onde quaisquer mudanças em
uma informação são registradas, para se saber quando
a informação foi alterada e quem a alterou;
❖      Checksums, ou assinaturas/validações de
integridade, que permitem detectar se algum pedaço da
informação foi alterado, seja por um humano, seja por
um evento não-humano como um pulso
eletromagnético (filmes de ficção), uma falha em um
servidor ou simplesmente um erro na escrita de um
disco rígido no seu computador. Nesse caso, para
garantir a integridade, podem ser necessárias cópias
adicionais de todos os dados, por exemplo, em um HD
externo ou uma cópia em um provedor de nuvem.
Disponibilidade
Por fim, temos a disponibilidade, que tem relação com
garantir que as pessoas, que podem acessar uma
informação , tenham de fato acesso a informação. Imagina
que você precisa pagar uma conta que vence hoje
utilizando o seu Internet banking, mas ao acessar, o site do
banco está fora do ar. Você tem a sua informação, mas não
consegue acessá-la quando mais precisa. Esse seria um
problema de disponibilidade. Para garantir a disponibilidade,
podemos pensar em alguns mecanismos como:
❖      Sistemas de redundância de discos como RAID, onde
uma informação é automaticamente “ salva” em
diversos discos rígidos;
❖      Planos de recuperação de desastresque garantem,
por exemplo, que se um servidor do banco der
problema, existirá um outro servidor capaz de atender
aos seus clientes;
❖      Cópias de backup espalhados em diferentes regiões
geográficas, para garantir que no caso de um acidente
como um incêndio ou um alagamento os seus dados
não serão perdidos.
Dica do Autor: Curiosidades a parte, conheço algumas
pessoas que possuem backups espalhados em pendrives na
casa de vários parentes. Me pergunto se essas pessoas
criptografaram os dados, pois pendrives são facilmente
furtáveis ou perdidos e podem cair na mão de estranhos.
Aproveite o momento para avaliar o quanto de
confidencialidade, integridade e disponibilidade cada um
dos seus ativos precisa ter!
Proteção em Camadas 
Para complementar sua segurança, outro modelo
interessante de proteção é o chamado modelo em camadas.
Nesse modelo, você cria diversas barreiras que precisam ser
vencidas para que se chegue na próxima barreira.  O que
uma camada não protege, a camada seguinte protege.
Imagine que você tem um documento muito importante.
Você compra um cofre, coloca o documento dentro e guarda
a chave com você. Isso seria a prevenção. Imagina que você
não carrega a sua chave o tempo todo com você. Você
guarda essa chave em uma gaveta. Se algum ladrão invadir
a sua casa durante a sua ausência e pegar a chave, ele
consegue abrir o cofre. então a prevenção foi rompida.  No
entanto, você pode configurar um alarme no seu cofre, que
ao ser aberto emite um som que pode ser ouvido em toda a
vizinhança, além de enviar um email e um SMS para o seu
celular avisando do acesso. Agora você detectou a ameaça.
Mesmo assim, o ladrão pode pegar o documento e sair
correndo. Mas se você tiver uma camada de recuperação
como um sistema que automaticamente chama a polícia e a
segurança do condomínio, você talvez consiga recuperar o
documento das mãos do ladrão. Caso contrário, você ainda
poderia ter uma cópia desse documento em um outro cofre
em um outro apartamento. Isso é pensar em segurança em
camadas no mundo físico. Portanto, ao pensar em
segurança, pense em quais camadas de segurança você
precisa implementar para cada ativo de acordo com o seu
nível de importância.
Modelo de confiança zero
Como mencionado anteriormente, não existe um sistema
100% seguro ou 100% confiável. A nossa segurança
depende das escolhas que fizermos e a análise de custo-
benefício ou risco-retorno (trade-off) deve ser considerada.
Parta do princípio que você não pode confiar em nenhuma
entidade, em nenhum serviço online, em nenhum sistema,
em nenhuma pessoa. Selecione com cautela as pessoas
com as quais você divulga determinadas informações.
Selecione um sistema operacional para seu computador que
atenda aos seus requisitos de segurança, confidencialidade
e privacidade.
Escolha ferramentas de trabalho e mecanismos que
garantam um bom equilíbrio entre o grau de exposição e a
necessidade de proteção dos seus dados. Durante o livro,
vamos indicar algumas ferramentas e sistemas que podem
te ajudar nesta tarefa. Para facilitar o entendimento do
modelo de confiança zero, imagine que você deseja guardar
seus arquivos na nuvem, utilizando por exemplo o Microsoft
OneDrive, Dropbox ou o Google Drive (que são
soluções/serviços de armazenamento de arquivos online).
Ao decidir colocar suas informações nesses sistemas, você
deve assumir:
❖      Não existe garantia que os desenvolvedores do
serviço não vão acessar as informações salvas no
serviço de armazenamento em nuvem;
❖      O serviço pode ser comprometido ou hackeado, e
suas credenciais de acesso podem ser furtadas e
utilizadas por terceiros;
❖      Não há como garantir que o sistema estará sempre
disponível ou que não ocorrerá um problema que tire o
serviço do ar em algum momento. Por exemplo, caso a
empresa venha a falir, ela pode parar de pagar as
contas e você vai perder os seus dados. Avaliando esse
cenário, dependendo do grau de importância e
confidencialidade da informação, você precisa distribuir
essa confiança. Por exemplo, para guardar o meu
número do cartão de crédito no Dropbox, eu posso usar
uma ferramenta offline de criptografia para proteger
esse arquivo de forma que só eu, que tenho a senha,
consigo acessar.  Se esse arquivo criptografado estiver
no Dropbox e o serviço for comprometido, eu terei uma
camada extra de segurança contra acessos indevidos.
Para garantir uma maior disponibilidade, eu posso pegar
esse mesmo arquivo criptografado e salvar em outros
provedores como o Amazon Drive, Google, Drive, ou até
mesmo ter uma cópia em um HD Externo em uma
gaveta.  Viu? Dessa forma, você tomou uma decisão,
entendeu os riscos, e distribuiu a confiança para
garantir que as suas premissas: integridade,
confidencialidade e disponibilidade sejam razoáveis pelo
nível de segurança que você deseja ter.
3 - Conhecendo o inimigo
Amadores hackeiam sistemas. Profissionais hackeiam
pessoas.
- Bruce Scheier
O complexo da vítima
Depois de ler todas essas informações, você pode estar
pensando: Por qual motivo alguém tentaria invadir o meu
computador. Logo eu, que não sou uma figura pública, sem
muita relevância ou sem informações ultra-secretas. A
grande verdade é que hoje em dia essa atividade não é
mais executada por humanos e sim coordenada por
humanos.
Os ataques são programados por humanos e robôs
automatizados ficam trabalhando 24 horas por dia,
buscando alguma aplicação vulnerável para comprometer a
sua segurança. E o atacante não é mais um programador
profissional com profundos conhecimentos técnicos. O
atacante pode muito bem ser um cidadão comum com os
meios para adquirir esses programas de invasão. Vocês
podem acessar o site da Kaspersky para visualizar a grande
quantidade de ataques que acontecem em tempo real por
todo o mundo. Hoje em dia, vivemos uma grande
democratização dos ataques. Eles não escolhem renda,
tamanho de empresa, relevância, raça ou gênero. Todos são
igualmente alvos em potencial. Além
 disso, já passou
o tempo onde um atacante atingia uma vítima por “
brincadeira”, como apagar os dados do disco ou trocar o
papel de parede da vítima. Os atacantes perceberam que o
maior valor é infectar um dispositivo, executar na surdina e
inteligentemente encontrar formas de extorsão.
Um computador ativo na rede sob o controle de um
atacante é muito mais interessante do que um usuário
irritado que vai ter que formatar o seu computador cheio de
vírus. Um atacante que controla milhares ou milhões de
hosts pode fazer coisas como:
❖      Utilizar estas máquinas como zumbis, para
programar um ataque coordenado (negação de serviço
distribuído, ou DDOS) para prejudicar alguma pessoa ou
entidade. Por exemplo, enviar um comando para que
todas máquinas comprometidas fiquem tentando
acessar incessantemente o site de um governo, com o
objetivo de afetar a disponibilidade do serviço do
governo;
❖      Capturar informações que prejudiquem a integridade
e reputação das pessoas, como fotos, vídeos, trocas de
mensagem e utilizar isso como mecanismo de extorsão
e ameaças. Ex. “ Se você não enviar X dinheiro para um
determinado local, vou colocar na Internet essas suas
fotos íntimas”;
❖      Utilizar seu computador para servir conteúdo ilegal,
como pedofilia, pornografia (dependendo do país esse
conteúdo pode ser ilegal), ou para enviar conteúdo
contaminado para outras pessoas como emails falsos e
propagandas;
❖      Aplicar um ramsonware, ou seja, bloquear o acesso a
todos dados de seu computador e cobrar um resgate
para poder reaver os dados. Um exemplo famoso foi o
WannaCry, ramsonware que utilizou uma
vulnerabilidade dos sistemas Windows mais antigos
para criptografar milhares de computadores em todo o
mundo, pedindo um resgate em Bitcoins (moeda virtual
mais difícil de rastrear) para que as pessoas pudessem
voltar a ter seus dados. Esse ataque afetou hospitais,
escolas, e empresas dos mais diversos segmentos,
gerando milhões dedólares em prejuízos no mundo
inteiro;
❖      Espionar sua atividade em computadores como
forma de obter inteligência competitiva, como por
exemplo, espionagem industrial ou roubo, furto de
códigos-fonte de aplicações, chaves de acesso para
sistemas, etc.
No final do dia, o grande objetivo com isso tudo é ganhar
dinheiro. Os atacantes, caso não desejem utilizar
diretamente as suas informações comprometidas,
encontram um mercado amplo para a venda de informações
sigilosas. Existem locais na Internet onde você pode
comprar números de cartões de crédito por alguns dólares,
acesso a contas de redes sociais por alguns centavos,
aluguel de computadores infectados para organizar um
ataque de negação de serviço, contas de email legítimas,
etc. Este último item em particular é um dos mais
perigosos, pois através de uma conta de email, um atacante
consegue saber quase tudo sobre uma vítima e também
consegue usar a recuperação de senha para acessar outros
serviços que a vítima possui. Por exemplo, ao comprometer
a conta de email de um usuário, o atacante pode explorar a
caixa de entrada e ver que o usuário possui uma conta no
Facebook. O atacante não tem a senha do Facebook. Mas
ele pode entrar no Facebook, se passar pelo usuário, e pedir
para gerar uma nova senha e enviar para o email do
usuário.
O que eu acho que estou fazendo
para me proteger?
Vamos voltar um pouco para a auto-análise. Pegue um
papel (ou guarde mentalmente se você for um ninja) e
anote/pense nas 3 principais atividades/processos que você
faz para ficar seguro na Internet. Eu aposto com você que
as suas respostas passaram por alguns desses pontos:
❖     Usar um antivirus;
❖     Acessar somente sites conhecidos;
❖     Mudar de senha frequentemente;
❖      Usar senhas fortes, com maiúsculas, minúsculas,
caracteres especiais e números.
Se você mencionou algum desses pontos, parabéns. São de
fato atitudes importantes para a segurança. Mas agora você
sabe que faz parte do grupo de pessoas normais, não
especialistas, que acham que estão com alguma segurança
online. Brincadeiras a parte, o Google publicou um artigo
muito interessante (
https://ai.google/research/pubs/pub43963 ), comparando as
práticas consideradas seguras tanto por pessoas que são
experts em segurança quanto por pessoas que não são
especialistas. Olha só que interessante:
Comparando o que os usuários normais fazem com o que os
especialistas fazem, vemos uma grande diferença entre os
resultados. O usuário normal, que se preocupa em gerar
senhas fortes, usam o anti-vírus e visitam sites conhecidos,
https://ai.google/research/pubs/pub43963
possuem uma segurança. Mas esse mesmo usuário fica com
preguiça de reiniciar o seu computador para atualizar uma
versão do sistema operacional, pois vai perder uns minutos
sem poder usar o computador. Já os experts colocam como
atividade número um para a segurança a atividade de
atualizar sistemas, sempre que surgir alguma atualização.
Além disso, priorizam o uso de senhas únicas. O que isso
quer dizer? Bom, hoje em dia, precisamos guardar diversas
senhas, dos mais diferentes sites e serviços. Como a nossa
capacidade de memorização é limitada, o que as pessoas
acabam fazendo é repetir senhas ou “ inventar” uma forma
super secreta de memorizar senhas. Geralmente é algo
como: pego o meu nome, troco umas letras por números
(ex, troco E por &, A por 4, etc.), concateno com o nome do
meu cachorro, e depois escrevo o nome do site que estou
acessando. Ou coloco o apelido do meu filho + os dígitos do
ano de nascimento dele. E as senhas ficariam parecidas
com:
❖     Hugo+c4ch0rr0@gmail;
❖     Hugo+c4ch0rr0@facebook;
❖     Hugo+c4ch0rr0@bancodobrasil.
E qual o problema disso? O primeiro deles é que se o
atacante descobrir o padrão, ele consegue invadir todas
suas contas. O segundo, é que se você utilizar uma senha
única para tudo, o serviço do atacante fica ainda mais fácil.
Basta um atacante descobrir uma senha sua e ele descobre
todas. A solução recomendada é utilizar um gerenciados de
senhas (vamos falar dele mais adiante no livro). Por fim, o
quarto ponto é utilizar a autenticação de dois fatores. O que
é isso? A autenticação por dois fatores é uma autenticação
que combina algo que você sabe (ex. sua senha) com algo
que você tem (como um código em um celular, biometria,
voz, íris, etc.). Sempre que você acessar algo sensível, o
sistema com essa autenticação pedirá uma confirmação
adicional de que você é você.
Bugs e vulnerabilidades
Um software é uma combinação de centenas de milhares de
linhas de código, que envolvem um trabalho humano de
converter a vontade de seus clientes em códigos que viram
produtos e serviços. A produção humana de código é
passível de falhas, que são chamadas de bugs ou
vulnerabilidades. Os bugs podem ser inofensivos como um
botão que pode assumir uma cor diferente, ou um
comportamento esquisito. Mas eles também podem permitir
o uso indevido de um sistema, acesso a uma área protegida
por parte de um usuário sem permissão, ou até a leitura de
conteúdo criptografado. Um alarmante caso recente foi o
Heartbleed, que explorava uma falha no algoritmo de
geração de chaves utilizadas na Internet para fazer
conexões seguras que utilizam o https. Para o leitor mais
leigo, o https é um protocolo que garante que os dados
enviados para sites como sites de bancos não possam ser
lidos por outras entidades diferentes de você mesmo e o
banco. O que aconteceu é que uma falha existente nesse
protocolo, utilizado por milhões de sites, permitia que um
atacante tivesse acesso a todo conteúdo trocado como
usuários e senhas, números de cartão de crédito, etc. caso a
versão do protocolo  de segurança utilizado pelo site não
estivesse atualizada.
Como os sistemas dependem cada vez mais um dos outros,
e um sistema possui muitas linhas de código e utiliza muitos
sistemas de terceiros para executar tarefas, a possibilidade
de existir uma vulnerabilidade perigosa em um sistema é
extremamente alta. Vale reforçar a importância de sempre
utilizar sistemas atualizados para estar sempre com versões
mais seguras e com correções de falhas detectadas.
Quem são os hackers, crackers e
cibercriminosos
Como mencionado anteriormente, o perfil dos
cibercriminosos se alterou drasticamente. Saímos do
cenário das décadas de 70/80 onde uns poucos indivíduos,
detentores de grande conhecimento técnico e de sistemas,
geravam ferramentas para explorar e detectar
vulnerabilidades. Hoje em dia, esses mesmos indivíduos
encontraram um mercado muito mais lucrativo e menos
arriscado. Ao invés de colocar seus perfis reais em risco, é
muito mais fácil desenvolver ferramentas de ataque e
vendê-las para pessoas que queiram assumir esse risco. E
hoje em dia, qualquer um com um mínimo conhecimento
consegue comprar essas ferramentas e começar a atuar
ilegalmente. Além disso, existem cibercriminosos que nem
ao menos possuem essas ferramentas e conhecimentos
técnicos. Esses criminosos são especialistas no
entendimento do comportamento humano e usam a
psicologia e corrupção para extorquir suas vítimas. Eles se
utilizam de engenharia social para ludibriar, enganar, e
explorar pessoas. Alguns exemplos de engenharia
social/corrupção:
❖      Amigo da empresa que fica amigo da secretária para
descobrir as senhas de diretores presas em “ post-its”
na mesa;
❖      Espião industrial que liga para uma pessoa em um
nível hierárquico mais baixo de uma instituição e se
passa por um diretor ou presidente e exige o acesso à
alguma informação ou alguma credencial/troca de
senha. O funcionário acaba cedendo com medo de
perder o emprego. A famosa carteirada fake;
❖      Bandidos que enviam SMSs falsos ou emails falsos
com a intenção de fazer um usuário clicar em algum link
ou URL para infectar ou comprometer um dispositivo
para futuro uso ou roubar dados. Ex. Você recebe um
email urgente da receita federal ou do seu banco
dizendo que você precisaquitar uma dívida até hoje. Ou
você recebe um SMS supostamente da Netflix indicando
que seu cartão não passou e que você perderá o acesso
a conta, com um link para clicar e renovar o cartão. Ou
você recebe um SMS do banco dizendo que a sua conta
sofreu um ataque e você teve dinheiro furtado, pedindo
para você acessar um site e fazer o login para ver se
está tudo ok;
❖      Bandidos presos em cadeias que arranjam chips pré-
pagos e ligam para inocentes e mentem sobre ter
sequestrado algum familiar, pedindo dinheiro em troca
da vida desse ente familiar;
❖      Bandidos que se infiltram em operadoras de telecom
e “ roubam” acesso temporário de uma linha de um
usuário. Ao fazer isso, redirecionam o número de um
usuário legítimo para um chip pré-pago. Depois,
instalam o WhatsApp nesse aparelho e começam a
pedir dinheiro para quem enviar mensagem para o
número. Por exemplo, dizendo que sofreu um acidente
de carro e precisa transferir dinheiro pra conta do
acidentado antes que “ dê problema”;
❖      Bandidos que se infiltram nos correios, tem acesso
aos cartões de crédito que são enviados via correio e
modificam os envelopes com falsos números de telefone
para ativação. Ao receber o cartão, o usuário
geralmente liga para o número que vem no adesivo
colado ao cartão para ativar o cartão. Mal sabe o
usuário que existe um sistema elaborado de call center
criminoso que recebe a ligação e pede dados de
confirmação enquanto alguém ativa o seu cartão e o
clona.
Dica do Autor: Você pode encontrar neste link uma lista das
dez maiores fraudes reportadas nesse link(
http://www.consumerfraudreporting.org/current_top_10_sca
m_list.php )
Malwares, vírus, rootkits, RATs,
Ramsonware, Keyloggers, etc. 
http://www.consumerfraudreporting.org/current_top_10_scam_list.php
O nome malware vem da junção dos termos “ malicious" e “
software”, ou software maligno. Resumidamente, o malware
é qualquer software que tenha sido desenvolvido para
causar danos a dados, dispositivos ou pessoas. De acordo
com o site av-test, a cada dia, são detectados cerca de 250
mil programas maliciosos. Hoje em dia, estamos expostos a
um volume realmente enorme de programas malignos, e
estamos perdendo a batalha contra eles. Um gráfico recente
estima que no ano de 2018 já existam mais de 800 milhões
de malwares espalhados.
Em 2010, esse número era de menos de 50 milhões. A
forma como o malware gera danos pode ser útil para
categorizar qual o tipo de malware que está trazendo
alguma ameaça para você. Algumas categorias
importantes:
Virus
Programas que se prendem em arquivos limpos com o
objetivo de infectá-los e propagar o programa contaminado.
Eles podem se espalhar através da Internet, em anexos de
e-mails, etc. Normalmente, eles são ativados ao se executar
um arquivo contaminado.
Rootkits
São programas que tem a intenção de permitir um acesso
completo de um sistema por um atacante remoto. Os
rootkits podem ser instalados ao se abrir um conteúdo como
um anexo de e-mail ou um belo arquivo Powerpoint que a
sua tia te enviou. Ao instalar um plugin no seu navegador
de Internet, ou até mesmo uma falha de segurança do seu
sistema operacional. O objetivo do rootkit é se camuflar no
sistema, substituindo por exemplo, processos e aplicações
legítimas por cópias alteradas que podem monitorar e atuar
sobre o que está sendo feito no computador.
Remote Access Trojans (RAT)
São programas que se camuflam nos dispositivos e abrem
uma porta de acesso para um atacante (chamado de
backdoor). Essa porta fica discretamente aberta,
aguardando um chamado do atacante para atuar. Uma vez
que um sistema está infectado com um RAT, o atacante
pode utilizar esse sistema para tentar infectar outros
sistemas ou para coordenar um ataque a outro sistema,
utilizando esta máquina contaminada (que chamamos de
zumbi) como parte de uma botnet (rede de máquinas
contaminadas utilizadas por cibercriminosos para conduzir
ataques distribuídos).
Ramsonware
O ramsonware é um programa que tem o claro objetivo de
extorquir uma vítima. Em inglês, ransom significa resgate. A
ideia do programa é simples. Ele explora alguma
vulnerabilidade de um sistema (seja a abertura de um
anexo estranho, a abertura de um documento com macros,
uma falha em um software desatualizado, etc.) para entrar
em um sistema. De forma sorrateira, ele criptografa todos
os arquivos do sistema, bloqueia o seu acesso e cobra um
valor monetário para liberar o acesso aos dados. Por utilizar
a criptografia para o mal, dificilmente uma pessoa do bem
conseguiria descobrir a senha para descriptografar o
conteúdo e acabam pagando o resgate. A recomendação é
não pagar o resgate, pois além de mostrar para o criminoso
que o crime compensa, ainda existe o risco de você pagar e
continuar sem os seus arquivos. O atacante é uma pessoa
do mal. Ele não tem ética e nem honra. Portanto, nada
garante que ele vá ser bonzinho e devolver os seus dados.
Vamos lembrar do modelo zero de confiança. Para se
proteger, nada como ter uma cópia de arquivos importantes
em diversos provedores de nuvem ou em um hd externo
(depende sempre do valor da informação que você quer
proteger). Vale relembrar que recentemente tivemos o
ataque chamado de WannaCry, que foi um ramsonware que
utilizou uma falha em sistemas Windows para propagar um
malware em escala global. Diversas instituições como
hospitais, escolas, escritórios de advocacia, fabricantes de
carros, foram afetadas e tiveram severas perdas.
Keyloggers, Screenloggers, etc.
Os loggers, como o nome diz, são programas que tem o
objetivo de capturar sua atividade no computador. Seja o
que você digitou no teclado, as telas do que acessou, o
áudio do seu microfone ou até a sua webcam. O atacante
pode utilizar isso para para roubar contas e acessos, ou até
mesmo para extorsão e espionagem. É interessante notar
que existem ataques de engenharia social onde o atacante
nem ao menos conseguiu capturar atividades no seu
computador. Mas ele conduz um processo de ameaça que
faz você acreditar que o atacante possui essas atividades.
Por exemplo, tenho casos de amigos que receberam por
email ameaças que diziam que tinham se infiltrado no
computador desse meu amigo e capturado cenas
constrangedoras dele assistindo pornografia em seu
computador. E que esse meu amigo precisaria enviar
bitcoins para um local específico se não quisesse ter essas
informações divulgadas.
Spyware
Os spywares são parecidos com os loggers, no que tange a
captura de informações do usuário. Só que geralmente a
finalidade aqui é aprender o comportamento do usuário
para depois ofertar um produto direcionado, ou entender se
um cliente usa um produto da concorrência, etc.
Adware, Browser Hijacking
Os adwares são programas que geralmente se disfarçam de
plugins de um navegador, e tem o objetivo de fazer
propagandas e gerar conteúdos não solicitados. Na minha
experiência, os maiores alvos são tias, tios e parentes
próximos. Sempre preciso remover adware dos seus
computadores ao visitá-los. Brincadeiras a parte, os
usuários mais leigos acabam clicando em links e pop-ups
sem saber o que estão fazendo e acabam instalando barras
de procura e outros itens que atrapalham a experiência do
usuário além de poder enviar dados de uso para pessoas
má-intencionadas. O browser hijacking consiste em
comprometer o navegador de um usuário para redirecioná-
lo para sites de propaganda, gerando receita para o
atacante. Ou até, redirecionando o usuário para um site
falso com o objetivo de capturar suas senhas.
Phishing, SMShing, Vishing
Os ***shing tem o objetivo de enganar o usuário. Eles se
passam por produtos ou serviços verdadeiros e tentam
direcionar o usuário a tomar uma ação como clicar em um
link, o que acaba levando o usuário para um local onde
ocorre a infecção do dispositivo do usuário.
O Phishing por exemplo é o envio de emails falsos. Por
exemplo, um belo dia você abre a sua caixa de email e vê
umamensagem do seu banco, avisando que ocorreu um
ataque na sua conta e que você perdeu dinheiro. Para
acionar o banco e resolver basta clicar em um link do email.
Ou você recebe um email da receita federal dizendo que é
possível adiantar a restituição do imposto, bastando acessar
um site. Todos estes são exemplos reais de emails falsos,
que levam o usuário a um site falso de banco ou da receita
e pede a inserção de dados. Esses dados serão utilizados
contra o usuário.
O SMShing é igual ao Phishing, só que através de
mensagens de celular. Por exemplo, você pode receber um
SMS que diz que você foi sorteado pela operadora para
ganhar um novo aparelho, bastando clicar no link enviado
para pegar o prêmio. Tome cuidado e desconfie de tudo.
O Vishing é o uso de engenharia social através de telefone
para enganar pessoas, se passando por uma pessoa ou
empresa confiável. Por exemplo, uma pessoa pode ligar
para você, se passando pelo seu banco, para pedir algumas
confirmações e dados pessoais. Ou podem te ligar do seu
banco para avisar que o seu cartão foi clonado e que você
precisa informar os 3 dígitos de trás do cartão para que o
atendente possa cancelar.
Tome muito cuidado com ligações iniciadas da empresa
para você. Se for o caso, mantenha a calma, peça o número
do protocolo. Em seguida, ligue para a empresa oficial e
confirme se realmente ocorreu alguma coisa de errada. Um
caso muito comum no Brasil é relacionado com prestação
de serviços de telecom. Um falso atendente te liga para
avisar de algum problema na sua Internet que requer
manutenção. Ou algo parecido. Use a criatividade. Então,
uma elaborada trama permite agendar uma visita técnica.
Um profissional uniformizado com a vestimenta da
prestadora de serviço interfona na hora e dia solicitados. Ele
sobe pro seu apartamento e parabéns. Você foi
sequestrado, roubado, ou ameaçado. Sempre busque canais
oficiais de prestadoras e confirme se de fato eles que
ligaram.
Engenharia Social
A engenharia social é relacionada com a manipulação de
pessoas, de forma a extrair informações confidenciais ou
fazê-las executar ações em benefício dos atacantes. Por
exemplo, um atacante pode fazer uma ligação se passando
por um diretor de uma empresa, e pressionar um
funcionário abaixo na hierarquia a liberar o acesso a um
sistema. Se sentindo coagido, o funcionário acaba
fornecendo o acesso, com medo de represálias. Outro
exemplo seria um funcionário que fica amigo de uma
secretária com a intenção de ter acesso ao seu computador
e roubar informações sigilosas e acessos de altos executivos
de uma empresa. Todos os ataques anteriormente
mencionados também se utilizam da engenharia social. Por
exemplo, um email falso (phishing) sobre uma conta
atrasada usa a psicologia para saber que uma multa faz o
usuário temporariamente se esquecer da segurança e faz o
usuário ficar ansioso para resolver o problema para não
levar prejuízo.
Pirataria de Software e Torrents
Uma péssima prática realizada no Brasil é a de pirataria de
software. A alta carga tributária, somada a desigualdade
social e baixa renda da população leva muitas pessoas a
buscarem alternativas gratuitas ou muito baratas para
adquirir programas importantes para elas. Uma pessoa
precisa por exemplo pagar quase metade de um salário
mínimo só para comprar um Windows 10 legítimo. O grande
risco oculto na pirataria (além da ilegalidade e do prejuízo
para os vendedores e produtores) é justamente as possíveis
falhas de segurança. Se um software legítimo, adquirido de
uma fonte legítima, já é passível de ter falhas de segurança,
imagine um software pirata, feito ou modificado por sabe-se
lá quem. Esse software, além de geralmente não permitir
atualizações, pode estar recheado de todas variantes de
malware e se voltar contra você quando você menos
esperar. Se você pretende armazenar dados importantes em
seu computador, um importante passo é garantir que ele só
execute software legítimo.
4 - Ferramentas de defesa e boas
práticas
Um bom desenvolvedor de software é alguém que
sempre olha para os dois lados antes de atravessar
uma rua de mão única
- Doug Linder
Antivirus e Anti-Malwares
A ferramenta mais conhecida e utilizada para se proteger
são os anti-vírus/anti-malwares. Como o nome diz, os anti-
vírus são ferramentas que varrem o seu computador na
busca de padrões ou assinaturas que se assemelham a
ataques ou exploração de vulnerabilidades. Ao detectar, o
anti-vírus pode colocar esse material em quarentena ou
sugerir a exclusão dos mesmos. Hoje em dia as ferramentas
de anti-vírus estão bem evoluídas e não se limitam a apenas
essa atividade. Em alguma, você consegue submeter um
arquivo baixado para um time de especialistas avaliar, e até
detectar que algum código malicioso está criptografando
arquivos e atuar para bloquear isso (bloqueando por
exemplo um ataque de ramsonware). Sempre tenha um
anti-vírus bem configurado e instalado. Um anti-malware
gratuito excelente (com suporte para Windows, MacOSX e
Android) é o Malwarebytes ( https://br.malwarebytes.com/ ).
Firewall
Os firewalls são programas que atuam como uma barreira
de entrada/saída. Eles funcionam como um
porteiro/segurança de um condomínio, que possui uma lista
com quem pode e não pode entrar. E ele garante que a lista
será obedecida à risca. No caso dos computadores, o
firewall pode definir quais serviços podem enviar e receber
dados, e por quais portas TCP/UDP esses dados serão
enviados. Caso não saiba o que é TCP e UDP, não se
preocupe.
Uma analogia é uma continuação da atividade do porteiro
do condomínio. Imagine agora que além de saber se uma
https://br.malwarebytes.com/
pessoa pode ou não entrar, ele também pode escoltar a
pessoa e garantir que ela só possa entrar pela porta
principal (porta TCP ou UDP) de um apartamento
(computador), e que só possa sair pela porta da cozinha. No
TCP/UDP, tecnicamente falando, sempre tratamos um
endereço (no caso, um endereço IP, que poderia ser uma
pessoa que quer interagir com um apartamento) e uma
porta (que poderia ser a porta principal do apartamento,
porta da cozinha, porta de serviços, etc.). No firewall,
existem um conjunto de regras que dizem para cada
pessoa, quais apartamentos ela pode acessar e por onde
pode entrar e sair. Se quiser complicar, ainda daria para
definir por exemplo um horário onde a pessoa poderia
entrar, ou quantas vezes a pessoa poderia entrar. Tudo isso
para garantir a segurança do apartamento.
Uma pergunta que fica no ar é: para garantir a segurança
do meu computador, eu preciso saber de todos os
endereços IPs que por ventura eu possa vir a interagir? A
resposta é não. O firewall para computadores de usuários
finais possui interfaces amigáveis que perguntam sempre
que alguém bate em uma porta. Daí você analisa se deseja
permitir temporariamente, ou tornar isso uma regra
permanente. Além disso, uma boa política é a política de
bloquear todos os acessos e só avisar ao porteiro sobre as
pessoas que você de fato quer que entrem (whitelist). Isso
faz muito mais sentido do que permitir tudo e só bloquear
quem você não quer ver em seu apartamento (blacklist).
Seria algo incontrolável. Como exemplos de firewall, temos
o Windows Defender para Windows 10. No MacOSX temos
um firewall nativo do sistema e no Linux, geralmente temos
alguma variante como o IPtables, IPCop, UFW (firewall
padrão na distribuição Ubuntu).
Navegadores Web
Para a maioria dos usuários, os navegadores como o Mozilla
Firefox, Apple Safari ou Google Chrome são a porta de
entrada para a Internet. A recomendação geral é sempre
manter o seu navegador atualizado. É importante notar, no
entanto, que hoje em dia temos navegadores com alto nível
de segurança como o Google Chrome, mas ao mesmo
tempo, existe um desafio de privacidade. Conforme falamos
anteriormente é desafiador encontrar uma solução que
garanta segurança e ao mesmo tempo garanta total
privacidade. No caso do Google Chrome,ele oferece alertas
de ameaças como sites que foram denunciados ou
detectados como maliciosos ou phishing.
Além disso, existem avisos bem chamativos caso um site
utilize um certificado inválido ou vendido. Por fim, o Chrome
possui atualizações automáticas de segurança, que não
dependem do usuário. Conforme falamos antes, não
atualizar aplicações e sistemas é um dos pontos de maior
risco em segurança. Se você busca segurança e também
um pouco de privacidade, uma recomendação é o
navegador Brave. O Brave por padrão possui extensões que
bloqueiam propagandas e ferramentas de rastreio de
usuário. Ao bloquear essas propagandas e ferramentas de
rastreio, você ganha um benefício adicional que é a maior
velocidade nos sites, que carregam menos componentes.
Além disso, se você utilizar uma aba anônima no Brave, ele
utiliza a rede Tor para proteger seu histórico de navegação e
sua localização, de forma criptografada.
Curiosidade: Em novembro de 2020, foi descoberta uma
falha de segurança no Brave, que estava relacionado com o
fato de que alguns acessos na aba anônima não estavam
suficientemente “anonimizadas”. Os desenvolvedores já
liberaram um update com a correção desta falha.
VPN
VPNs, ou Redes Virtuais Privadas, funcionam como uma
camada de segurança adicional para os usuários.
Imagine o seguinte. Você mora em uma casa e se sente
seguro dentro dela. Mas você precisa visitar algum parente
seu, que mora em uma região perigosa, repleta de assaltos
e violência urbana. Agora imagine que você tivesse a
capacidade de construir um túnel por debaixo da terra
conectando a sua casa com a casa do seu parente.
Independente da hora do dia ou da situação urbana, você
poderia ir e vir entre as casas com uma grande segurança,
bastando caminhar por dentro do túnel. Se você quer levar
pacotes ou encomendas, basta entrar no túnel e entregar.
No mundo da tecnologia, a VPN funciona da mesma forma.
a VPN cria um túnel seguro conectando você de uma ponta
a outra. Do seu computador para algum outro serviço.
Vamos evoluir na analogia. Agora imagine que a sua casa
está em uma localização perigosa. Você tem medo de sair
de casa pois pode ter seus bens furtados ou sua integridade
ameaçada. E a casa do seu parente fica em uma região
segura e protegida em um condomínio com segurança 24/7.
Dado que existe um túnel conectando as casas, você não
precisa mais sair na sua rua e se expor ao risco. Basta que
você sempre use a casa do seu parente como porta de
saída. Se você quer ir na padaria, basta entrar pelo túnel,
chegar na casa do seu parente, abrir a porta e ir.
Na VPN é bem parecido com essa segunda analogia. Ao
utilizar uma VPN para se conectar em um sistema ou na
Internet, a sua conexão passa a sair sempre pelo local de
destino da VPN. Na analogia, o seu endereço físico passa a
ser o endereço do seu parente. No mundo da computação, o
seu endereço (endereço IP) passa a ser um dos endereços
disponíveis no servidor onde você se conectou. Um uso
muito comum de VPN é no ambiente empresarial.
Normalmente, os notebooks empresariais só permitem
acesso à Internet através de uma VPN. Essa VPN cria um
túnel seguro conectando o notebook ao ambiente
empresarial. Dessa forma, o tráfego passa pela empresa e a
empresa pode aplicar suas políticas de controle e
segurança. Se alguma pessoa tentar identificar a origem de
um acesso feito via notebook, ele vai chegar no servidor de
VPN da empresa. Se você está em um ambiente público
inseguro como um café, restaurante, ou algum local com
Internet aberta, existe um grande risco de alguém conseguir
espionar o seu acesso. Nesse cenário, uma VPN protegeria o
seu acesso, mesmo ao acessar a Internet em ambientes
inseguros. Pensando em pessoa física, você pode contratar
serviços de VPN para estabelecer uma conexão segura com
um servidor na Internet e utilizar Internet em ambientes
inseguros.
Você só precisa pesquisar bem sobre a reputação do
serviço. Você pode ter um canal seguro até o servidor. Mas
se o servidor for comprometido, seu acesso também será
comprometido. E nesse caso, a privacidade do conteúdo
que você acessa estará na mão desse provedor de VPN. Use
com cautela. Outro caso de uso é: Você deseja acessar um
serviço restrito para um país. Por exemplo, um sistema que
só permite acessos dos Estados Unidos. Uma forma de
contornar isso (assumindo que você será responsável por
violar a política desse sistema) é usar uma VPN com um
servidor nos Estados Unidos. Como o endereço que você vai
receber será um endereço IP americano, você conseguira
acessar o serviço mesmo estando no Brasil.
Rede tor
O nome da rede TOR vem de um projeto chamado de The
Onion Router. Ou o roteador cebola. O nome foi inspirado
em um projeto de um laboratório de pesquisa naval nos
EUA. Resumidamente o TOR é um programa que esconde
sua identidade na Internet e impede que terceiros
visualizem suas atividades on-line. O termo roteamento em
cebola vem da ideia de que existem diversas camadas de
proteção ou embaralhamento para se chegar a um destino,
o que protege a origem de alguns tipos de rastreamento.
Você pode fazer o download do navegador TOR para
Windows, Linux e Mac.
Aqui, a analogia é a seguinte. Imagine que você deseja
enviar um celular usado para um amigo seu que mora em
outro estado. Em um cenário normal, o pacote seria enviado
de um posto de atendimento do correio para uma central, e
de lá seria enviado para um posto de atendimento próximo
a casa do seu amigo. E de lá, um carteiro entregaria o
pacote. Nesse cenário, fica fácil saber o trajeto do pacote.
Se o pacote tiver um número de rastreio, isso fica ainda
mais fácil. Agora imagine que ao invés de seguir esse
caminho padrão, o pacote fosse enviado para uns 40 locais
diferentes, indo e voltando por diferentes rotas, passando
por diferentes carteiros e diferentes sistemas de courier e
entrega. Obviamente ia demorar mais para o pacote chegar.
Mas seria bem complicado rastrear a origem ou por onde
esse pacote passou.
A rede Tor funciona de forma parecida. As requisições
enviadas são criptografias e enviadas por caminhos
tortuosos e complexos, passando por diversos servidores
espalhados pelo mundo. Ao fazer isso, fica mais difícil de
alguém rastrear a origem dos pedidos, a localização
geográfica do pedido, espionagem, etc. A contrapartida é
que esse acesso será proporcionalmente mais lento devido
aos vários locais por onde as requisições precisam passar.
Criptografia
A criptografia tem origens bem remotas. Aparentemente, lá
pra 1900 antes de cristo, um chefe egípcio teve sua tumba
adornada com hieróglifos (símbolos que representavam a
linguagem escrita da época no Egito) “ fora do comum”.
Estima-se que o objetivo era ocultar segredos religiosos ou
aumentar o misticismo sobre o conteúdo ali registrados. A
criptografia vem da ideia de não somente ocultar como
proteger um conteúdo de forma que somente as pessoas
que tenham as “ chaves” de acesso consigam acessar
aquele conteúdo.
Imagine que você precisa guardar uma joia cara em um
cofre na sua casa. A joia é o ativo que você deseja proteger.
E parar protegê-lo, você pode colocar um um cofre que
pede uma senha de 6 dígitos para abrir/fechar a porta do
cofre. Exagerando na analogia, imagina que você precisa
enviar essa joia para alguma pessoa. Uma forma uma tanto
quanto “ não-convencional” de envio seria enviar um cofre
com a joia dentro para a outra pessoa. Assumindo que esse
cofre é inviolável, mesmo que alguém roube o cofre, nunca
conseguirá acessar a joia Mas se ele descobrir a senha de 6
dígitos, ele conseguirá abrir e roubar a joia Senão ele terá
somente um grande peso de papel de aço balístico(o cofre
fechado).
Levando para o mundo online, é mais ou menos assim que
funciona. Para toda informação (jóia) que eu preciso enviar,
eu preciso colocar essa informação em um pacote seguro
(cofre) e enviar para o destino. O destinatário (assumindo
que ele saiba a senha) consegue abriro pacote e retirar a
informação. Os algoritmos utilizados na Internet são feitos
de forma que os pacotes são muito bem protegidos e as
senhas de acesso são extremamente complexas. De forma
que mesmo que um atacante consiga capturar o pacote em
trânsito, ele não vai conseguir descobrir o seu conteúdo.
Sempre que possível, utilize soluções baseadas em
criptografia na Internet. Seja um navegador Tor, ou o acesso
à um site via HTTPS. Sempre proteja o conteúdo enviado.
Para os leitores mais curiosos ou avançados, vou explicar
nos próximos parágrafos um pouco do funcionamento do
HTTPS, que é um dos protocolos mais utilizados para
comunicação segura na Internet. E para isso, vou
aprofundar um pouco mais sobre os tipos de criptografia
existentes.
Se não estiver a fim de ler essa parte técnica, pode
prosseguir para o próximo texto. O HTTPS basicamente é o
uso do protocolo TLS (segurança na camada de transporte
de dados) em conjunto com o HTTP, que é um protocolo
utilizado para transmissão de sites web por exemplo. Para
entender seu funcionamento, precisamos detalhar um
pouco mais sobre as famílias de algoritmos de criptografia
utilizados hoje em dia. Hoje em dia, existes duas famílias de
algoritmos de criptografia. O primeiro deles é a criptografia
simétrica. Ela é bem parecida com o cofre da analogia
anterior. Na criptografia simétrica, existe uma chave ou
senha única, que é utilizada tanto para criptografar um
conteúdo quanto para descriptografar. É como se fosse a
chave da sua casa ou do seu carro. Você usa a mesma
chave para abrir e fechar a porta. Existe também um outro
tipo de criptografia, chamado de criptografia assimétrica.
Essa criptografia possui uma propriedade interessante. Ela é
a seguinte. Existem sempre duas chaves. Uma delas
chamamos de chave pública. A outra, de chave privada.
Tudo que é criptografado pela chave pública, só pode ser
descriptografado pela chave privada. E tudo que é
criptografado pela chave privada, só pode ser
descriptografado pela chave pública. É como se a gente
tivesse um cofre com duas chaves. E se foi a chave 1 que
fechou, somente a chave 2 abre. E se a chave 2 fechou,
somente a chave 1 abre. Como o nome diz, a chave privada
é só nossa e só a gente tem acesso. A chave pública pode
ser divulgada publicamente. Curiosidades a parte, a
criptografia simétrica, por ser um algoritmo mais simples,
pode ser muitas vezes feita por hardware específico, o que
permite que ela tenha muita performance. Por sua vez, a
criptografia assimétrica é muito custosa em termos de
processamento. Voltando ao cenário da Internet. Vamos
assumir que você abriu um navegador web e digitou
https://www.google.com. Ao fazer isso, você precisa criar
uma conexão segura com algum dos servidores do Google.
Imagina que a gente vai usar a criptografia simétrica (chave
única) para enviar dados protegidos pro Google. Mas daí
vem uma pergunta:
Como eu envio essa chave única para o Google? Como eu
faço para transmitir essa chave de forma segura?
Afinal de contas, se eu enviar essa chave pela Internet,
alguém pode interceptar a chave e passar a espionar o que
eu estou enviando para o Google. Para solucionar isso,
vamos utilizar a criptografia assimétrica. Vai funcionar
assim. O Google quer se comunicar comigo. Para isso, ele
codifica a mensagem com a sua chave privada e me envia.
Eu pego a chave pública do Google, aplico, e faço a
decriptografia da mensagem. Se eu quero mandar algo pro
Google, eu criptografo a mensagem com a chave pública do
Google. Como somente o Google tem a chave privada do
Google, só ele consegue descriptografar.  Tudo parece
perfeito né? Só que existe um detalhe. A criptografia
assimétrica é muito custosa computacionalmente. Não dá
para usar o tempo todo. Como o TLS funciona afinal de
contas? Ele usa a criptografia assimétrica para transmitir de
forma segura uma chave de criptografia simétrica. Depois
disso, dá para utilizar uma criptografia simétrica (que teve a
chave transmitida de forma segura através de criptografia
assimétrica), que tem melhor performance para trocar
dados de forma segura. Bem interessante não?
Canary Tokens 
Uma ferramenta pouco conhecida e de extremo valor são os
Canary Tokens. O nome do Canary vem de um método
antigo utilizado por mineradores. Para detectar o baixo
oxigênio em uma região da mina de carvão, os mineradores
levavam um canário em uma gaiola. Se o canário
começasse a se agitar ou estressar, era sinal de risco por
exposição a gases tóxicos. E a mina era evacuada.
Antigamente, os canários acabavam morrendo. Mas uma
evolução foi a criação de uma gaiola com ressuscitação que
permitia re-oxigenar o canário e mantê-lo vivo. A sociedade
de proteção aos animais agradece.
Levando para o cenário atual, o Canary Token é um
mecanismo para saber se algo está errado. Vamos pensar
no seguinte cenário. eu possuo meu computador na minha
empresa. Mas tenho medo de quem alguém esteja
acessando alguma informação confidencial armazenada na
minha máquina. Geralmente, um atacante, ao acessar uma
máquina, vai buscar arquivos confidenciais. Se ao entrar na
máquina ele encontrar uma pasta chamada “ senhas do
Internet banking”, ele ficará muito tentado a clicar. Se ele
encontrar nessa pasta um arquivo chamado
senhas_banco_X.docx, ele certamente irá abrir o arquivo. A
curiosidade é uma grande força. A pergunta que fica no ar
é: como você vai saber se alguém acessou a sua máquina?
O Canary Token pode ajudar nesse cenário. Imagine o
seguinte. Eu sei que minha máquina pode ser
comprometida. Em um cenário normal, somente eu
acessaria a máquina. Para capturar um atacante (como um
rato atraído para uma ratoeira), eu posso criar um arquivo
falso chamado senhas_banco_X.docx. Esse arquivo pode até
conter algumas senhas incorretas. Mas ao abrir o arquivo,
esse arquivo falso automaticamente chama um endereço
web e dispara um gatilho que enviar um SMS para o meu
celular avisando que o meu notebook foi comprometido.
Esse é o poder do token.  Uma boa prática é espalhar tokens
identificáveis por todos seus ambientes. Então você pode
colocar um arquivo senhas.docx no seu Dropbox, OneDrive
ou GoogleDrive. Ou deixar salvo na sua caixa de email um
email chamado: Senhas atualizadas. Ou uma imagem numa
pasta chamada fotos_íntimas. Se um atacante acessar
quaisquer desses arquivos ou dados, um alarme silencioso
será disparado e você saberá que o seu email, o seu drive
ou o seu computador foram comprometidos e pode tomar
as medidas pertinentes.
Existem alguns sites que permitem facilmente montar seus
tokens. O importante é sempre colocar um descritivo claro
explicitando o que significa a ativação. Algo como: Arquivo
do Microsoft Word colocado no diretório
C:\User\hugo\passwords\password.doc. Caso contrário, você
pode ter disparado um token e vai ficar sem saber o que
ocasionou o disparo. Nesse caso, o Canary Token perde sua
utilidade.
Dica do Autor: Alguns sites que te ajudam a gerar Canary
Tokens: https://canarytokens.org/generate e
https://www.stationx.net/canarytokens/ .
Senhas e autenticação, two factor
Conforme já falamos nesse livro, é normal associar senhas
complicadas com segurança. Isso não está de todo errado.
Com o avanço das técnicas de quebra de senhas, a
recomendação é ter senhas complexas, combinando
caracteres maiúsculos, minúsculos, números, símbolos
especiais ($#%&*). E senhas com pelo menos 12
caracteres, sendo recomendado um número muito maior.
Quanto maior melhor. Algumas dicas importantes:
https://www.stationx.net/canarytokens/
❖     Senhas com caracteres maiúsculos, minúsculos,
números e símbolos especiais;
❖      Senhas com o número máximo de caracteres
possível (pelo menos 12);
❖     Utilizar uma senha diferente por
aplicativo/site/serviço;
❖      Evitar usar padrões para senhas para ajudar na
memorização como senha@site1, senha@site2, etc.
A grande recomendação é não depender somente de uma
senha forte e combinar pelomenos algum outro fator de
autenticação (autenticação em dois fatores) como um token
enviado por SMS, ou um token gerado em aplicativo, etc.
Mesmo que um atacante consiga a sua senha de email por
exemplo, ele não conseguirá acessar a sua conta sem a
segunda autenticação (a não ser que ele tenha também
roubado/furtado o seu celular e tenha a senha de acesso).
Você vai estar dificultando a vida do atacante. Uma solução
interessante para armazenar esses tokens de autenticação
em dois fatores é o Authy. Do ponto de vista de senhas, a
recomendação é ter um gerenciador de senha. Este tipo de
solução protege suas senhas de forma criptografada. Basta
que você proteja a aplicação com uma senha forte. Algumas
soluções inclusive tem ferramentas de geração de senhas
seguras. Uma recomendação seria utilizar o LastPass ou o
Bitwarden.
Dica do Autor: no início de 2021, o LastPass mudou sua
política para o plano gratuito e restringiu o seu uso para
apenas Desktop ou Mobile (não dá mais para ter o Lastpass
configurado nos dois). Por esse motivo, recomendamos
experimentar o Bitwarden.
5 - Segurança no dia a dia
Senhas são como roupas íntimas: Não deixe as
pessoas verem, troque-as com frequência, e não
compartilhe com estranhos
- Chris Pirillo
HDs Externos e backups
Uma prática bem comum é o uso de HDs externos para
backup. Ou até pendrives. Fique atento que esses tipos de
dispositivos são facilmente furtados ou perdidos. Sempre
criptografe os HDs com senhas fortes. E guarde ativos de
valor em ambientes protegidos. Se precisar de uma
segurança ainda maior, opte por devices com criptografia
por hardware como o DataLocker DL3.
Webcam e Microfone
Infelizmente vivemos em um mundo inseguro. E sabemos
que a qualquer momento, podemos ter informações
preciosas expostas. Com o avanço dos computadores e da
tecnologia, cada vez mais os dispositivos como Desktops e
Notebook são adquiridos de fábrica com microfones e
câmeras. O que muita gente não sabe é que é
relativamente fácil para um atacante comprometer esses
dispositivos e passar a utilizá-los como mecanismos de
espionagem ou até de extorsão.  Muitas pessoas por
exemplo possuem um computador em seus quartos. Esses
dispositivos, se comprometidos, podem permitir que um
atacante monitore e grave todos os sons e vídeo do
ambiente, como uma câmera de segurança. Já parou para
pensar que tudo que você faz ou já fez em seu quarto pode
ter sido gravado por uma pessoa com más intenções? Uma
atitude simples que você pode fazer é tampar a webcam
quando não estiver utilizando. Pode ser com um adesivo,
silver tape, fita isolante, o que for.
Ou comprar um pequeno acessório de plástico que permite
tampar e destampar a câmera com facilidade. Nesse
momento, alguns podem perguntar:
A minha webcam, quando ligada, acende uma luz forte azul
ou verde. Se alguém me monitorar, eu saberei pois a luz
estará acesa.
Para um atacante que já comprometeu o seu computador,
apagar o led da câmera é o menor dos problemas. Então
não conte com isso. Para os mais preocupados, é possível
adquirir computadores que possuem interruptores físicos
para controlar o acesso à webcam ou ao microfone. Por
exemplo, temos a linha Librem da Purism
(https://puri.sm/products). A empresa fabrica dispositivos
para os mais preocupados em segurança como o Librem13.
O Librem13, além de ter interruptores para controlar o
hardware de webcam e microfone, ainda possui um
interruptor (chamados de kill switch) para ligar e desligar o
bluetooth ou wifi, de forma que o usuário pode também
controlar os sinais de rádio que saem de seu computador.
Se você realmente quer um grau de segurança elevado, é
importante ter um computador que esteja alinhado com os
seus objetivos.
Notebook
O notebook é um dos maiores alvos dos atacantes. Além de
todos os ataques virtuais, ainda existem os ataques físicos
como furtos e roubos. Mantenha sempre o sistema
operacional atualizado. Além disso, um notebook pode ser
facilmente comprometido, bastando que o atacante tenha
acesso físico ao mesmo por um período de tempo. Um
conhecido tipo de ataque é chamado de Evil Maid Attack, ou
ataque da “ empregada do mal”. Ele consiste em um
atacante, que ao ter acesso físico ao computador (como
uma empregada que faz a limpeza da sua casa teria),
espeta por exemplo um pendrive que instala um keylogger
ou modifica o sistema operacional do computador. Após
isso, a máquina está infectada e pode ter sido atingida por
uma ou mais das categorias de malwares que já
apresentamos. Para diminuir a chance de problemas, os
sistemas operacionais mais atuais como Windows, Linux, e
MacOSX, já possuem mecanismos nativos de criptografia
completa do disco. Esse mecanismo dificulta que um
atacante consiga descobrir o conteúdo armazenado em um
hd de um notebook roubado. No MacOSX, pode-se utilizar o
FileVault, nativo do sistema operacional. No Windows, existe
o BitLocker. Além da criptografia total do disco, é
interessante pensar em se ter uma partição ou pasta
criptografada a parte, para guardar arquivos sigilosos com
mais uma camada de segurança.Para se preparar parar um
eventual furto, deve-se ter anotado em local seguro:
❖     Lista dos aplicativos sensíveis instalados no notebook
❖      Lista de serviços consumidos via notebook, como
sites de reserva, sites de e-commerce, email, Whatsapp,
Telegram, Spotify, Netflix, etc.
❖      Lista de aplicações e chaves de acesso corporativas
como email corporativo, chave de acesso para sistemas
internos, acesso VPN, etc.
❖     Lista de serviços conectados como iCloud, Dropbox,
GoogleDrive
Em caso de furto, deve-se acessar essa lista e trocar
imediatamente todas credenciais de acesso para esses
serviços. Avisar os responsáveis da empresa onde você
trabalha para revogar todos acessos de sistemas
corporativos. E para alguns sistemas, efetuar o apagamento
remoto dos dados contidos no computador. Outra
recomendação geral importante é evitar armazenar
informações importantes em dispositivos com alta
mobilidade. Saiba que a perda de um notebook é algo que
pode acontecer e se prepare para o pior.
Desktop (computadores de mesa)
Para o desktop, as recomendações são as mesmas das
recomendações para o notebook. Além disso, por ser um
dispositivo que fica geralmente imóvel em um local a maior
parte do tempo, a chance de um atacante com acesso físico
poder adulterar sorrateiramente o desktop são maiores se
você está por exemplo em um ambiente corporativo. Evite
deixar o desktop desbloqueado e com acesso a sua conta.
Dependendo da criticidade das informações armazenadas
ou trafegadas no desktop, deve-se ter o cuidado adicional
de monitorar portas USB.
Geralmente, pelo fato do Desktop não ter muita mobilidade,
a parte traseira do mesmo, onde são conectados a maior
parte dos dispositivos USB, pode passar despercebida.
Existem devices chamados de keyloggers físicos. Esses
dispositivos podem possuir memória interna e são
conectados entre o teclado USB e a entrada USB do
computador. De forma imperceptível ele passa a capturar
tudo o que foi digitado. Depois de um período, basta o
atacante retornar ao local e retirar o keylogger USB para ter
acesso a tudo o que foi digitado, como sites acessados,
emails redigidos, senhas digitadas, números de cartão de
crédito, etc.
Sistemas Operacionais
Hoje em dia existem as mais diversas opções de sistemas
operacionais. Temos desde o clássico Windows, passando
pelo MacOSX, centenas de distribuições Linux até o
ChromeOS (modificação baseada em Linux para dispositivos
Google). Para o smartphone, temos o Windows Phone
(projeto abandonado), Android e iOS. A escolha do sistema
operacional vai do gosto do usuário. Mas é importante
atentar para alguns pontos no que tange a segurança. Um
ponto comum para todos eles é: mantenha sempre o
sistema atualizado, com as últimas atualizações de
segurança disponibilizadas pelos fabricantes. Outro ponto a
se considerar é: sistemas fechados