Baixe o app para aproveitar ainda mais
Prévia do material em texto
UM GUIA SIMPLES E DIVERTIDO DESCOMPLICANDO A SEGURANÇA DIGITAL HUGO CARVALHO © Hugo Carvalho Dedico este livro aos meus pais que sempre acreditaram no meu potencial e abriram mão de muitas coisas para que eu pudesse estudar e me dedicar a ser um profissional de tecnologia apaixonado por tudo que faço. Um agradecimento especial ao amigo Arthur Gomes pela concepção da capa deste livro. Ficou incrível! Hugo Carvalho Para quem é este livro? Este livro foi elaborado por uma pessoa extremamente técnica que se esforça ao máximo para trazer analogias e uma linguagem simples e de fácil compreensão mesmo para os não técnicos. Costuma funcionar! Não vou mentir. As pessoas da área de engenharia/computação terão muito mais facilidade. Mas não deixe isso te desestimular! O assunto tratado neste livro é extremamente relevante (e interessante), seja para técnicos, seja para não técnicos. Conhecer os assuntos aqui mencionados é a garantia de um sono mais tranquilo e também um diferencial em qualquer carreira que interaja com o mundo digital (praticamente todas hoje em dia). Í Índice 0 - Sobre o Autor 1 - Introdução 2 - O ambiente de ameaças e vulnerabilidades 3 - Conhecendo o inimigo 4 - Ferramentas de defesa e boas práticas 5 - Segurança no dia a dia 6 - Casos Reais e curiosidades 7 - Conclusões 0 - Sobre o Autor Hugo Carvalho é um profissional apaixonado por tecnologia, que desde criança é fascinado pelo poder que o mundo digital agrega as pessoas e facilitam suas vidas. Ele já se aventurou (e fracassou) pelos mais diversos cenários e empresas, trabalhando como pesquisador em tecnologia, desenvolvedor, empreendendo, e ultimamente dirigindo a área de TI de uma grande empresa brasileira. Em sua carreira, também já passou por grandes empresas como a Amazon Web Services, onde foi o responsável técnico por todas as Startups que utilizam cloud na America Latina nos mais diversos estágios de maturidade e foi o arquiteto de soluções responsável pela conta do Nubank, um dos maiores unicórnios brasileiros. Já recebeu com uma de suas startups o prêmio de Jovem Empreendedor do jornal O Globo e da FGV e também teve uma de suas startups eleita como a melhor startup do Brasil em 2014 no Desafio Brasil, onde concorreu com mais de 1000 startups de todo o país. Hugo possui mestrado e graduação Universidade Federal do Rio de Janeiro na área de computação em nuvem e engenharia de computação. Tem uma especialização em Big Data pela Fundação Getúlio Vargas e nas escassas horas livres, gosta de estudar sobre segurança, computação em nuvem e desenvolvimento de software. Recentemente, tirou a certificação da Amazon Web Services de especialista em segurança, o que ratifica ainda mais a validade e confiabilidade dos conteúdos desse livro. 1 - Introdução Ninguém está seguro na Internet. Ninguém nunca esteve. Ninguém nunca estará seguro na Internet. Todos sabemos disso. Mas todos nos esquecemos disso, pois todos nos acomodamos com isso. - Frase sem autor, encontrada na Internet. Onde não estamos seguros. A única certeza que podemos ter no mundo digital é que em algum momento vamos temer por nossa segurança e teremos nossos dados comprometidos. A quantidade de ataques digitais cresce exponencialmente, em uma eterna briga de gato e rato entre os atacantes e as empresas de segurança. Não é uma questão de se acontecer. É uma questão de quando vai acontecer. Diferente de antigamente, quando os atacantes possuíam um baixo poder de fogo e precisavam estudar muito a fundo um alvo que recompensasse o esforço necessário para um ataque, hoje em dia existem ferramentas automatizadas (que podem por exemplo serem adquiridas na Dark Web por alguns Bitcoins) que realizam incessantes varreduras na Internet em busca de dispositivos vulneráveis. Aquela figura do hacker do mal nerd, profundo conhecedor de tecnologia, cheio de espinhas e com péssimo traquejo social, foi somada aos hackers do mal “ gourmet”, que usam e abusam da engenharia social e de ferramentas prontas que fazem todo o trabalho sujo, só restando para esses atacantes colher os seus lucros. Agora mesmo uma pessoa com pouco conhecimento técnico, mas com algum dinheiro, já pode fazer parte deste lucrativo mercado dos crimes virtuais. Adicionalmente, o mundo caminha para um cenário ainda mais conectado. O mundo da década de 1990, quando era difícil ter uma residência com um computador ainda mais difícil ter um computador com acesso à Internet (discada por sinal), deu espaço para um mundo com residências com Internet rápida (banda larga ligada 24x7) e com dezenas de dispositivos conectados à rede, desde os celulares, passando por notebooks, tablets, TVs, roteadores sem-fio, fechaduras e até geladeiras. Um prato cheio para os atacantes, que possuem uma superfície de ataque ainda maior para buscar por vulnerabilidades. Finalmente, outra mudança fundamental é o uso da tecnologia para transitar e armazenar informações sensíveis. Antigamente, vivíamos no mundo off-line, com fotos impressas em lojas, muitos cadernos e coisas escritas na máquina de escrever. Hoje em dia, temos tudo em nossos meios digitais. Fotos, vídeos, acesso ao banco, acesso ao cartão de crédito, trocas de mensagem, documentos, etc. Hoje em dia, o grande desafio para a segurança (minha e sua) e do usuário geral se resume a se tornar um alvo menos apetitoso para os ataques existentes. Não podemos ser aquele personagem frágil que sempre morre primeiro nos filmes de terror. E não seremos se seguirmos à risca todo o conteúdo desse livro. Espero que o processo seja divertido e ao mesmo tempo lhe traga ferramentas e reflexões que o diferenciem. Para quem não aplicar tudo, ficarei satisfeito se você pelo menos se conscientizar de todas ameaças existentes e seja mais cauteloso ao tomar ações no mundo digital, medindo as possíveis consequências. Que um atacante te ache um alvo desinteressante e busque outra pessoa para infernizar a vida. O livro começa com algumas definições básicas sobre o que é a privacidade no mundo de hoje em dia, assim como a anonimidade e a pseudo-anonimidade. Vamos explicar sobre o mundo atual e as diversas ameaças existentes, assim como alguns conceitos básicos da área de segurança e um modelo conhecido como Modelo de Zero-Confiança. Vamos te ajudar a não ser mais uma vítima em potencial. Desenvolver instintos de segurança e proteger melhor seus ativos. Para que você entenda todo o panorama, vamos explicar em detalhes e com exemplos do mundo real as formas de ameaça mais utilizadas por atacantes, assim como as melhores ferramentas e processos para se proteger. Por fim, você terá acesso a um material muito rico sobre como se proteger e ter segurança nas suas diversas interações com o mundo digital como os notebooks, desktops, smartphones, redes sem fio, etc. 2 - O ambiente de ameaças e vulnerabilidades Se você colocar uma chave embaixo do tapete para a polícia, um bandido também pode encontrá-la. Criminosos estão usando todas ferramentas tecnológicas que estão ao seu alcance para hackear contas pessoais. Se eles sabem que existe uma chave escondida em algum lugar, eles não vão parar até encontrar essa chave. - Tim Cook Uma análise sobre você mesmo Vamos começar com um experimento. Quero que você pegue um papel (ou mentalmente se você for um ninja. Ou um bloco de notas no computador) e faça algumas reflexões e anotações. Não, isso não é um livro de auto-ajuda. Bom, talvez seja ;). Inicialmente, quero que você pense em você, em sua família, na empresa onde você trabalha ou é dono. Se você é alguém técnico, quero que você também pense nos sistemas que você desenvolve ou é responsável. Para cada um deles, defina: ❖ O que é mais confidencial? ❖ O que você não aceita perder? ❖ O que é insubstituível? ❖ O que poderia causar mais dano? ❖ O que poderia impactar a sua reputação? Alguns exemplos para inspirar: ❖ Fotos e vídeos; ❖ Dadosde cartão de crédito; ❖ Contas em banco e corretoras de investimento; ❖ Cópias de documentos pessoais, PF, Identidade, CNH; ❖ Contas em sites como Linkedin, Facebook, PagSeguro, Mercado Livre, etc.; ❖ Segredos empresariais; ❖ Contas de email; ❖ Carteira de Bitcoin ou outras criptomoedas; ❖ Senhas; ❖ Dados financeiros; ❖ Aquele Post-it grudado no monitor com a senha do banco. Aposto que ao refletir, você percebeu que existem muitas “ coisas” (vamos chamar essas coisas de ativos) que você dá valor (e quanto valor!). No contexto de segurança da informação, ativos são elementos que devem ser avaliados e protegidos, como por exemplo: dados, informações, equipamentos (hardware), código (software) e as pessoas que estão envolvidas nos processos relacionados. Esse é o primeiro passo para a segurança. Você precisa entender os seus objetivos de segurança e quais medidas você precisa tomar para garantir que as coisas que você dá valor (com um alto grau de importância) tenham os cuidados de segurança proporcionais a essa importância. Por exemplo, você não quer ter seus dados de cartão de crédito roubados, senão alguém pode efetuar uma compra no seu nome e você terá que pagar injustamente um enorme valor para a operadora do cartão. Fora toda a dor de cabeça de ter que solicitar um novo cartão, ter problemas de cobrança em serviços de assinatura que estavam vinculados com o cartão, dentre outros. Você não quer que a inocente foto do seu filho em uma rede social vá parar em uma rede de crimes de pedofilia ou que aquela sua foto ou vídeo em um momento íntimo vá parar em um grupo de Whatsapp. Durante o livro, vamos entender como podemos fazer um esforço para atribuir segurança aos ativos que você mais dá valor e que apresentam os maiores riscos. Dado que o tempo é limitado e que é impossível ter algo 100% seguro, devemos focar nossos esforços na segurança dos ativos de maior valor. Não vale a pena fazer o backup de um artigo que está amplamente disponibilizado na Internet, assim como não faz sentido aplicar uma criptografia poderosa para proteger a foto do seu cachorro brincando com uma bolinha. Devemos concentrar nossos esforços nos ativos que realmente precisam de segurança e no grau de segurança necessário para cada ativo. Após ler cada pedacinho desse livro, aproveite para rever a sua lista de ativos. Entenda e anote o que pode ser feito para melhorar a segurança desses ativos a cada avanço na leitura. Privacidade, Anonimidade e Pseudo-Anonimidade No mundo da segurança, existem alguns conceitos que muitas vezes se misturam. Vamos defini-los de uma vez por todas por aqui. O conceito de privacidade é relacionado com tudo que você quer manter privado, de forma sigilosa ou secreta. Uma analogia para a privacidade é a sua casa. Se você morar sozinho, ninguém sabe o que você faz dentro da sua casa. Isso é privado. No entanto, muita gente sabe que você mora na sua casa, o endereço, número, etc. Nesse caso, você tem privacidade em casa, mas não anonimidade. Anonimidade tem relação com as pessoas não saberem quem você é, mas ao mesmo tempo essas pessoas podem saber o que você fez/faz. Anonimidade tem relação com você separar suas ações e atividades da sua identidade real. Um exemplo seria um ativista que se conecta através de uma rede que busca garantir a anonimidade (como a rede Tor, que explicaremos mais adiante no livro), acessa um site que permite comentários e comenta sobre algum tema polêmico ou proibido no país onde esse ativista está localizado. A mensagem está aberta a todos (não temos privacidade), mas as pessoas dificilmente descobrirão quem enviou a mensagem (anonimidade). Na Internet, um fenômeno comum é o da falsa sensação de anonimato. Existem diversos casos de pessoas que criam perfis falsos para disseminar ódio ou conteúdo preconceituoso. Essas pessoas acham que estão anônimas. Para esses casos, existem formas de rastrear esse usuário como por exemplo através do endereço IP e de informações que o próprio navegador web pode entregar como o modelo do dispositivo que está sendo usado, seu sistema operacional, etc. Em alguns cenários, podemos pensar ainda na pseudo- anonimidade. A pseudo-anonimidade existe no contexto de você querer ter uma presença digital (e uma reputação digital), com um conjunto de ações vinculados com um perfil. Mas ao mesmo tempo você não quer que as pessoas vinculem esse perfil com a sua pessoa física. Um exemplo seria uma pessoa que tem um blog de finanças onde ela coloca informações sobre investimentos pessoais, como quanto dinheiro essa pessoa tem no banco e qual a alocação de sua carteira de investimentos. Para proteger a sua própria segurança, essa pessoa cria um perfil “ fake" chamado de “ investidor ousado”. Ela cria uma conta de email para esse perfil, um blog, etc. E se preocupa sempre em não expor informações demais para que terceiros não consigam vincular o perfil virtual com o perfil real da pessoa. Todos na comunidade de finanças podem conhecer o investidor ousado e suas ações, mas eles terão dificuldade em identificar a pessoa por trás desse personagem. Um famoso exemplo de um pseudo-anônimo reconhecido na Internet é o Satoshi Nakamoto, o misterioso criador do Bitcoin. Ele é um pseudônimo usado por alguém (ou um grupo de pessoas) para divulgar na Internet o design do Bitcoin e seu guia de implementação. Até hoje, ninguém sabe quem é o responsável pelo perfil, apesar de que os conhecimentos e os mecanismos propostos por esse perfil estão sendo responsáveis por uma das grandes revoluções na Internet, através das criptomoedas e da tecnologia de Blockchain. Segurança, ameaças e vulnerabilidades Uma forma bem interessante de se analisar a segurança é o modelo de segurança em camadas ou modelo em cebola. É como uma cebola. No nível de ativos, temos todos os ativos que damos valor, e o tipo de privacidade ou anonimidade que desejamos. Para garantir a segurança desses ativos, precisamos nos munir de ferramentas de segurança, como Firewalls, Criptografia, rede Tor, autenticação em duas etapas, etc. Esses mecanismos de segurança são utilizados para nos proteger de ameaças como Vírus, Phishing, Exploits, Malware, Backdoors, Espionagem(não se preocupe, vamos explicar cada um deles durante o decorrer do livro). E por fim, essas ameaças são feitas por adversários (ou potenciais adversários), como hackers, crackers, espiões, criminosos, máfia, regimes opressores, colegas de trabalho invejosos, ex-parceiros, etc. O modelo é o seguinte. Para cada ativo, temos que identificar quais ameaças se encaixam, e quem são os adversários que poderiam querer violar nossos ativos. Na sequência, precisamos ter a capacidade de identificar e usar os mecanismos de segurança que protejam esses ativos dos adversários potenciais que se utilizarão de formas de ameaça para nos comprometer. Os atacantes tentarão explorar falhas (losangos vermelhos-escuro na imagem) na sua segurança para atingir esse fim. Por exemplo, para garantir a segurança de uma foto privada (ativo), você pode utilizar o mecanismo de segurança Criptografia para se proteger de uma ex-cônjuge (nesse caso um adversário) que tente te espionar (ameaça) para ter acesso a essa foto. Dadas essas informações (eu sei, sopa de letrinhas), podemos definir uma importante variável chamada Risco. O risco é definido como: Risco = Vulnerabilidades X Ameaças X Consequências Para cada ativo, precisamos calcular seu risco e entender que não existe um modelo único de segurança para todo mundo. Cada um precisa avaliar os seus riscos pessoais, para sua família e para a sua empresa. Só os mecanismos de segurança por si não garantem o controle total do risco. A segurança não é só uma tecnologia, mas também é o conjunto de ações que você toma e também os processos que você segue. Parece difícil, mas aposto com você que até o final do livro você estará com esse modelo claro,e estará até discutindo com outras pessoas sobre os riscos, ameaças e medidas de segurança. Esse é um assunto muito interessante! Dica do Autor: Antes de avançar, é hora de rever a sua lista de ativos e começar a calcular o risco relacionado com cada ativo. Nada é 100% Depois de estudar sobre todo esse ambiente envolto em ferramentas de segurança, ameaças, adversários e ativos, você pode estar com uma pergunta na cabeça: “ Consigo ter algo 100% seguro?”. E a resposta é simples: não. Temos sempre que aceitar que é impossível fazer um sistema ou plataforma 100% segura. É impossível pensar em um ambiente que tem 0% de risco. Se alguém te vender algo 100% seguro, fuja! Na prática, a segurança é uma grande balança, onde você precisa ponderar a facilidade de uso com o grau de segurança. Quanto mais seguro, mais complexo o uso (ou a manutenção). Imagine que você precisa digitar uma senha complexa e depois digitar um código SMS enviado para o seu celular para acessar cada uma das fotos de paisagem que você tirou nas férias. Não seria nada prático ter esse processo de segurança para garantir a privacidade dessas fotos (que em teoria não teriam valor para um atacante e nem riscos para você caso elas vazassem na Internet). A usabilidade ultra complicada faria você desistir de ver suas fotos. Mas se esse mesmo mecanismo de senha complexa + código SMS for utilizado para acessar a conta do seu banco via Internet, essa perda de usabilidade parece fazer sentido visto a sensibilidade do conteúdo protegido. Esse é o balanço da segurança que sempre devemos levar em consideração. Aposto que nesse segundo cenário, toda essa burocracia de segurança não gera tanto incômodo. Durante o livro, vamos navegar profundamente na área se segurança para que você consiga: ❖ Selecionar mecanismos de segurança aderentes aos riscos e ao grau de importância de seus ativos; ❖ Implementar esses mecanismos; ❖ Verificar se os mecanismos estão funcionando Monitorar a eficiência do que foi implementado. Conseguimos ter Segurança, Privacidade e anonimidade ao mesmo tempo? Infelizmente, equilibrar segurança, privacidade e anonimidade é um grande desafio. Por exemplo, podemos instalar em nosso computador um software anti-malware que verifica se os sites que acessamos em nosso computador são seguros. Esse software é muito importante para a segurança, pois bloqueia conteúdos perigosos antes que eles sejam acessados. No entanto, para nos proteger, o fabricante do anti-malware pode ter acesso ao nosso histórico de navegação, o que compromete a nossa privacidade. Portanto, concluímos que você deve avaliar seus ativos e entender o correto balanço de cada um desses pontos para cada um de seus ativos. Para celebrar o fim desta seção, vamos terminar com uma frase do Bruce Schneier sobre privacidade (tradução em texto livre): Privacidade não é sobre esconder algo. É sobre ser capaz de controlar como nós nos apresentamos para o mundo. É sobre manter uma aparência pública ao mesmo tempo podendo ter pensamentos e ações privadas. É sobre dignidade pessoal. O que os nossos ativos precisam obter das ferramentas de segurança? Os nossos ativos precisam ser protegidos pelos mecanismos de segurança. Esta segurança pode vir embalada no que chamamos de atributos de segurança. Os principais atributos são: ❖ Confidencialidade; ❖ Integridade; ❖ Disponibilidade. Na área de segurança, esses três componentes são chamados de tríade CIA ( confidentiality, integrity and availability ). A confidencialidade regula o acesso à informação. A integridade é a segurança de que a informação é confiável e acurada e a disponibilidade é a garantia que o seu ativo poderá ser acessado pelas pessoas que tem autorização de acesso. Confidencialidade A confidencialidade está relacionada intimamente com o conceito de privacidade que mencionamos anteriormente. As medidas tomadas para garantir a confidencialidade são sempre associadas ao objetivo de prevenir que pessoas indevidas acessem informações indevidas. E que as pessoas que podem acessar a informação consigam acessa-la. Como exemplo de métodos de confidencialidade, podemos citar: ❖ Criptografia, ou “ codificar" uma informação; ❖ Uso de usuário e senha para restringir o acesso; ❖ Autenticação de dois fatores (como receber um código SMS pelo celular para confirmar uma ação); ❖ Verificação biométrica como em alguns smartphones com sensores biométricos; ❖ Reconhecimento facial. Dependendo do risco envolvido e do grau de importância do ativo protegido, podem ser necessárias medidas complementares para garantir um alto nível de confidencialidade como: ❖ Armazenar a informação em um diretório criptografado dentro do seu computador; ❖ Armazenar a informação em um dispositivo offline com segurança de hardware como o DL3FE que é um HD externo de alta performance com processadores criptográficos com segurança de hardware, código de desbloqueio e auto-destruição de dados em caso de violação física. Integridade A integridade está relacionada com a consistência e a precisão de uma informação. A informação não pode ser modificada ao ser transferida e/ou ao ser armazenada. E caso isso ocorra, devemos ter mecanismos para garantir que essa “ corrupção” de dados seja detectada. Imagine que você comprou um celular novo em folha em um site online. A vendedora do produto embala o seu novo celular em uma caixa com papel bolha e envia pelos correios. No entanto, quando o pacote chega na sua casa, você verifica que durante o trajeto, alguém pegou o seu celular e colocou um tijolo em seu lugar. Incrivelmente, esse tipo de crime é algo bem comum. Nesses momentos, a vontade é de usar o tijolo para violar a “ integridade” de quem furtou seu celular. Nesse caso, claramente a integridade foi afetada e ficou claro para você que o conteúdo do pacote foi adulterado. Mas em uma evolução desse modelo, uma pessoa com más intenções poderia substituir o aparelho celular por um aparelho idêntico, mas que, no entanto, possui um software espião instalado, que pode gravar o seu áudio, gravar sua localização, gravar a sua câmera e ler suas mensagens. Nesse caso, seria bem difícil detectar essa violação de integridade. Existem alguns casos reportados de cônjuges ciumentos que dão de presente ao seu parceiro um celular modificado para que possam rastrear ligações, câmera, localização, etc. Todo cuidado é sempre pouco! Alguns exemplos de mecanismos para auxiliar na manutenção da integridade são (nesse caso mais aplicadas no contexto de engenharia da computação): ❖ Controle de versão, onde quaisquer mudanças em uma informação são registradas, para se saber quando a informação foi alterada e quem a alterou; ❖ Checksums, ou assinaturas/validações de integridade, que permitem detectar se algum pedaço da informação foi alterado, seja por um humano, seja por um evento não-humano como um pulso eletromagnético (filmes de ficção), uma falha em um servidor ou simplesmente um erro na escrita de um disco rígido no seu computador. Nesse caso, para garantir a integridade, podem ser necessárias cópias adicionais de todos os dados, por exemplo, em um HD externo ou uma cópia em um provedor de nuvem. Disponibilidade Por fim, temos a disponibilidade, que tem relação com garantir que as pessoas, que podem acessar uma informação , tenham de fato acesso a informação. Imagina que você precisa pagar uma conta que vence hoje utilizando o seu Internet banking, mas ao acessar, o site do banco está fora do ar. Você tem a sua informação, mas não consegue acessá-la quando mais precisa. Esse seria um problema de disponibilidade. Para garantir a disponibilidade, podemos pensar em alguns mecanismos como: ❖ Sistemas de redundância de discos como RAID, onde uma informação é automaticamente “ salva” em diversos discos rígidos; ❖ Planos de recuperação de desastresque garantem, por exemplo, que se um servidor do banco der problema, existirá um outro servidor capaz de atender aos seus clientes; ❖ Cópias de backup espalhados em diferentes regiões geográficas, para garantir que no caso de um acidente como um incêndio ou um alagamento os seus dados não serão perdidos. Dica do Autor: Curiosidades a parte, conheço algumas pessoas que possuem backups espalhados em pendrives na casa de vários parentes. Me pergunto se essas pessoas criptografaram os dados, pois pendrives são facilmente furtáveis ou perdidos e podem cair na mão de estranhos. Aproveite o momento para avaliar o quanto de confidencialidade, integridade e disponibilidade cada um dos seus ativos precisa ter! Proteção em Camadas Para complementar sua segurança, outro modelo interessante de proteção é o chamado modelo em camadas. Nesse modelo, você cria diversas barreiras que precisam ser vencidas para que se chegue na próxima barreira. O que uma camada não protege, a camada seguinte protege. Imagine que você tem um documento muito importante. Você compra um cofre, coloca o documento dentro e guarda a chave com você. Isso seria a prevenção. Imagina que você não carrega a sua chave o tempo todo com você. Você guarda essa chave em uma gaveta. Se algum ladrão invadir a sua casa durante a sua ausência e pegar a chave, ele consegue abrir o cofre. então a prevenção foi rompida. No entanto, você pode configurar um alarme no seu cofre, que ao ser aberto emite um som que pode ser ouvido em toda a vizinhança, além de enviar um email e um SMS para o seu celular avisando do acesso. Agora você detectou a ameaça. Mesmo assim, o ladrão pode pegar o documento e sair correndo. Mas se você tiver uma camada de recuperação como um sistema que automaticamente chama a polícia e a segurança do condomínio, você talvez consiga recuperar o documento das mãos do ladrão. Caso contrário, você ainda poderia ter uma cópia desse documento em um outro cofre em um outro apartamento. Isso é pensar em segurança em camadas no mundo físico. Portanto, ao pensar em segurança, pense em quais camadas de segurança você precisa implementar para cada ativo de acordo com o seu nível de importância. Modelo de confiança zero Como mencionado anteriormente, não existe um sistema 100% seguro ou 100% confiável. A nossa segurança depende das escolhas que fizermos e a análise de custo- benefício ou risco-retorno (trade-off) deve ser considerada. Parta do princípio que você não pode confiar em nenhuma entidade, em nenhum serviço online, em nenhum sistema, em nenhuma pessoa. Selecione com cautela as pessoas com as quais você divulga determinadas informações. Selecione um sistema operacional para seu computador que atenda aos seus requisitos de segurança, confidencialidade e privacidade. Escolha ferramentas de trabalho e mecanismos que garantam um bom equilíbrio entre o grau de exposição e a necessidade de proteção dos seus dados. Durante o livro, vamos indicar algumas ferramentas e sistemas que podem te ajudar nesta tarefa. Para facilitar o entendimento do modelo de confiança zero, imagine que você deseja guardar seus arquivos na nuvem, utilizando por exemplo o Microsoft OneDrive, Dropbox ou o Google Drive (que são soluções/serviços de armazenamento de arquivos online). Ao decidir colocar suas informações nesses sistemas, você deve assumir: ❖ Não existe garantia que os desenvolvedores do serviço não vão acessar as informações salvas no serviço de armazenamento em nuvem; ❖ O serviço pode ser comprometido ou hackeado, e suas credenciais de acesso podem ser furtadas e utilizadas por terceiros; ❖ Não há como garantir que o sistema estará sempre disponível ou que não ocorrerá um problema que tire o serviço do ar em algum momento. Por exemplo, caso a empresa venha a falir, ela pode parar de pagar as contas e você vai perder os seus dados. Avaliando esse cenário, dependendo do grau de importância e confidencialidade da informação, você precisa distribuir essa confiança. Por exemplo, para guardar o meu número do cartão de crédito no Dropbox, eu posso usar uma ferramenta offline de criptografia para proteger esse arquivo de forma que só eu, que tenho a senha, consigo acessar. Se esse arquivo criptografado estiver no Dropbox e o serviço for comprometido, eu terei uma camada extra de segurança contra acessos indevidos. Para garantir uma maior disponibilidade, eu posso pegar esse mesmo arquivo criptografado e salvar em outros provedores como o Amazon Drive, Google, Drive, ou até mesmo ter uma cópia em um HD Externo em uma gaveta. Viu? Dessa forma, você tomou uma decisão, entendeu os riscos, e distribuiu a confiança para garantir que as suas premissas: integridade, confidencialidade e disponibilidade sejam razoáveis pelo nível de segurança que você deseja ter. 3 - Conhecendo o inimigo Amadores hackeiam sistemas. Profissionais hackeiam pessoas. - Bruce Scheier O complexo da vítima Depois de ler todas essas informações, você pode estar pensando: Por qual motivo alguém tentaria invadir o meu computador. Logo eu, que não sou uma figura pública, sem muita relevância ou sem informações ultra-secretas. A grande verdade é que hoje em dia essa atividade não é mais executada por humanos e sim coordenada por humanos. Os ataques são programados por humanos e robôs automatizados ficam trabalhando 24 horas por dia, buscando alguma aplicação vulnerável para comprometer a sua segurança. E o atacante não é mais um programador profissional com profundos conhecimentos técnicos. O atacante pode muito bem ser um cidadão comum com os meios para adquirir esses programas de invasão. Vocês podem acessar o site da Kaspersky para visualizar a grande quantidade de ataques que acontecem em tempo real por todo o mundo. Hoje em dia, vivemos uma grande democratização dos ataques. Eles não escolhem renda, tamanho de empresa, relevância, raça ou gênero. Todos são igualmente alvos em potencial. Além disso, já passou o tempo onde um atacante atingia uma vítima por “ brincadeira”, como apagar os dados do disco ou trocar o papel de parede da vítima. Os atacantes perceberam que o maior valor é infectar um dispositivo, executar na surdina e inteligentemente encontrar formas de extorsão. Um computador ativo na rede sob o controle de um atacante é muito mais interessante do que um usuário irritado que vai ter que formatar o seu computador cheio de vírus. Um atacante que controla milhares ou milhões de hosts pode fazer coisas como: ❖ Utilizar estas máquinas como zumbis, para programar um ataque coordenado (negação de serviço distribuído, ou DDOS) para prejudicar alguma pessoa ou entidade. Por exemplo, enviar um comando para que todas máquinas comprometidas fiquem tentando acessar incessantemente o site de um governo, com o objetivo de afetar a disponibilidade do serviço do governo; ❖ Capturar informações que prejudiquem a integridade e reputação das pessoas, como fotos, vídeos, trocas de mensagem e utilizar isso como mecanismo de extorsão e ameaças. Ex. “ Se você não enviar X dinheiro para um determinado local, vou colocar na Internet essas suas fotos íntimas”; ❖ Utilizar seu computador para servir conteúdo ilegal, como pedofilia, pornografia (dependendo do país esse conteúdo pode ser ilegal), ou para enviar conteúdo contaminado para outras pessoas como emails falsos e propagandas; ❖ Aplicar um ramsonware, ou seja, bloquear o acesso a todos dados de seu computador e cobrar um resgate para poder reaver os dados. Um exemplo famoso foi o WannaCry, ramsonware que utilizou uma vulnerabilidade dos sistemas Windows mais antigos para criptografar milhares de computadores em todo o mundo, pedindo um resgate em Bitcoins (moeda virtual mais difícil de rastrear) para que as pessoas pudessem voltar a ter seus dados. Esse ataque afetou hospitais, escolas, e empresas dos mais diversos segmentos, gerando milhões dedólares em prejuízos no mundo inteiro; ❖ Espionar sua atividade em computadores como forma de obter inteligência competitiva, como por exemplo, espionagem industrial ou roubo, furto de códigos-fonte de aplicações, chaves de acesso para sistemas, etc. No final do dia, o grande objetivo com isso tudo é ganhar dinheiro. Os atacantes, caso não desejem utilizar diretamente as suas informações comprometidas, encontram um mercado amplo para a venda de informações sigilosas. Existem locais na Internet onde você pode comprar números de cartões de crédito por alguns dólares, acesso a contas de redes sociais por alguns centavos, aluguel de computadores infectados para organizar um ataque de negação de serviço, contas de email legítimas, etc. Este último item em particular é um dos mais perigosos, pois através de uma conta de email, um atacante consegue saber quase tudo sobre uma vítima e também consegue usar a recuperação de senha para acessar outros serviços que a vítima possui. Por exemplo, ao comprometer a conta de email de um usuário, o atacante pode explorar a caixa de entrada e ver que o usuário possui uma conta no Facebook. O atacante não tem a senha do Facebook. Mas ele pode entrar no Facebook, se passar pelo usuário, e pedir para gerar uma nova senha e enviar para o email do usuário. O que eu acho que estou fazendo para me proteger? Vamos voltar um pouco para a auto-análise. Pegue um papel (ou guarde mentalmente se você for um ninja) e anote/pense nas 3 principais atividades/processos que você faz para ficar seguro na Internet. Eu aposto com você que as suas respostas passaram por alguns desses pontos: ❖ Usar um antivirus; ❖ Acessar somente sites conhecidos; ❖ Mudar de senha frequentemente; ❖ Usar senhas fortes, com maiúsculas, minúsculas, caracteres especiais e números. Se você mencionou algum desses pontos, parabéns. São de fato atitudes importantes para a segurança. Mas agora você sabe que faz parte do grupo de pessoas normais, não especialistas, que acham que estão com alguma segurança online. Brincadeiras a parte, o Google publicou um artigo muito interessante ( https://ai.google/research/pubs/pub43963 ), comparando as práticas consideradas seguras tanto por pessoas que são experts em segurança quanto por pessoas que não são especialistas. Olha só que interessante: Comparando o que os usuários normais fazem com o que os especialistas fazem, vemos uma grande diferença entre os resultados. O usuário normal, que se preocupa em gerar senhas fortes, usam o anti-vírus e visitam sites conhecidos, https://ai.google/research/pubs/pub43963 possuem uma segurança. Mas esse mesmo usuário fica com preguiça de reiniciar o seu computador para atualizar uma versão do sistema operacional, pois vai perder uns minutos sem poder usar o computador. Já os experts colocam como atividade número um para a segurança a atividade de atualizar sistemas, sempre que surgir alguma atualização. Além disso, priorizam o uso de senhas únicas. O que isso quer dizer? Bom, hoje em dia, precisamos guardar diversas senhas, dos mais diferentes sites e serviços. Como a nossa capacidade de memorização é limitada, o que as pessoas acabam fazendo é repetir senhas ou “ inventar” uma forma super secreta de memorizar senhas. Geralmente é algo como: pego o meu nome, troco umas letras por números (ex, troco E por &, A por 4, etc.), concateno com o nome do meu cachorro, e depois escrevo o nome do site que estou acessando. Ou coloco o apelido do meu filho + os dígitos do ano de nascimento dele. E as senhas ficariam parecidas com: ❖ Hugo+c4ch0rr0@gmail; ❖ Hugo+c4ch0rr0@facebook; ❖ Hugo+c4ch0rr0@bancodobrasil. E qual o problema disso? O primeiro deles é que se o atacante descobrir o padrão, ele consegue invadir todas suas contas. O segundo, é que se você utilizar uma senha única para tudo, o serviço do atacante fica ainda mais fácil. Basta um atacante descobrir uma senha sua e ele descobre todas. A solução recomendada é utilizar um gerenciados de senhas (vamos falar dele mais adiante no livro). Por fim, o quarto ponto é utilizar a autenticação de dois fatores. O que é isso? A autenticação por dois fatores é uma autenticação que combina algo que você sabe (ex. sua senha) com algo que você tem (como um código em um celular, biometria, voz, íris, etc.). Sempre que você acessar algo sensível, o sistema com essa autenticação pedirá uma confirmação adicional de que você é você. Bugs e vulnerabilidades Um software é uma combinação de centenas de milhares de linhas de código, que envolvem um trabalho humano de converter a vontade de seus clientes em códigos que viram produtos e serviços. A produção humana de código é passível de falhas, que são chamadas de bugs ou vulnerabilidades. Os bugs podem ser inofensivos como um botão que pode assumir uma cor diferente, ou um comportamento esquisito. Mas eles também podem permitir o uso indevido de um sistema, acesso a uma área protegida por parte de um usuário sem permissão, ou até a leitura de conteúdo criptografado. Um alarmante caso recente foi o Heartbleed, que explorava uma falha no algoritmo de geração de chaves utilizadas na Internet para fazer conexões seguras que utilizam o https. Para o leitor mais leigo, o https é um protocolo que garante que os dados enviados para sites como sites de bancos não possam ser lidos por outras entidades diferentes de você mesmo e o banco. O que aconteceu é que uma falha existente nesse protocolo, utilizado por milhões de sites, permitia que um atacante tivesse acesso a todo conteúdo trocado como usuários e senhas, números de cartão de crédito, etc. caso a versão do protocolo de segurança utilizado pelo site não estivesse atualizada. Como os sistemas dependem cada vez mais um dos outros, e um sistema possui muitas linhas de código e utiliza muitos sistemas de terceiros para executar tarefas, a possibilidade de existir uma vulnerabilidade perigosa em um sistema é extremamente alta. Vale reforçar a importância de sempre utilizar sistemas atualizados para estar sempre com versões mais seguras e com correções de falhas detectadas. Quem são os hackers, crackers e cibercriminosos Como mencionado anteriormente, o perfil dos cibercriminosos se alterou drasticamente. Saímos do cenário das décadas de 70/80 onde uns poucos indivíduos, detentores de grande conhecimento técnico e de sistemas, geravam ferramentas para explorar e detectar vulnerabilidades. Hoje em dia, esses mesmos indivíduos encontraram um mercado muito mais lucrativo e menos arriscado. Ao invés de colocar seus perfis reais em risco, é muito mais fácil desenvolver ferramentas de ataque e vendê-las para pessoas que queiram assumir esse risco. E hoje em dia, qualquer um com um mínimo conhecimento consegue comprar essas ferramentas e começar a atuar ilegalmente. Além disso, existem cibercriminosos que nem ao menos possuem essas ferramentas e conhecimentos técnicos. Esses criminosos são especialistas no entendimento do comportamento humano e usam a psicologia e corrupção para extorquir suas vítimas. Eles se utilizam de engenharia social para ludibriar, enganar, e explorar pessoas. Alguns exemplos de engenharia social/corrupção: ❖ Amigo da empresa que fica amigo da secretária para descobrir as senhas de diretores presas em “ post-its” na mesa; ❖ Espião industrial que liga para uma pessoa em um nível hierárquico mais baixo de uma instituição e se passa por um diretor ou presidente e exige o acesso à alguma informação ou alguma credencial/troca de senha. O funcionário acaba cedendo com medo de perder o emprego. A famosa carteirada fake; ❖ Bandidos que enviam SMSs falsos ou emails falsos com a intenção de fazer um usuário clicar em algum link ou URL para infectar ou comprometer um dispositivo para futuro uso ou roubar dados. Ex. Você recebe um email urgente da receita federal ou do seu banco dizendo que você precisaquitar uma dívida até hoje. Ou você recebe um SMS supostamente da Netflix indicando que seu cartão não passou e que você perderá o acesso a conta, com um link para clicar e renovar o cartão. Ou você recebe um SMS do banco dizendo que a sua conta sofreu um ataque e você teve dinheiro furtado, pedindo para você acessar um site e fazer o login para ver se está tudo ok; ❖ Bandidos presos em cadeias que arranjam chips pré- pagos e ligam para inocentes e mentem sobre ter sequestrado algum familiar, pedindo dinheiro em troca da vida desse ente familiar; ❖ Bandidos que se infiltram em operadoras de telecom e “ roubam” acesso temporário de uma linha de um usuário. Ao fazer isso, redirecionam o número de um usuário legítimo para um chip pré-pago. Depois, instalam o WhatsApp nesse aparelho e começam a pedir dinheiro para quem enviar mensagem para o número. Por exemplo, dizendo que sofreu um acidente de carro e precisa transferir dinheiro pra conta do acidentado antes que “ dê problema”; ❖ Bandidos que se infiltram nos correios, tem acesso aos cartões de crédito que são enviados via correio e modificam os envelopes com falsos números de telefone para ativação. Ao receber o cartão, o usuário geralmente liga para o número que vem no adesivo colado ao cartão para ativar o cartão. Mal sabe o usuário que existe um sistema elaborado de call center criminoso que recebe a ligação e pede dados de confirmação enquanto alguém ativa o seu cartão e o clona. Dica do Autor: Você pode encontrar neste link uma lista das dez maiores fraudes reportadas nesse link( http://www.consumerfraudreporting.org/current_top_10_sca m_list.php ) Malwares, vírus, rootkits, RATs, Ramsonware, Keyloggers, etc. http://www.consumerfraudreporting.org/current_top_10_scam_list.php O nome malware vem da junção dos termos “ malicious" e “ software”, ou software maligno. Resumidamente, o malware é qualquer software que tenha sido desenvolvido para causar danos a dados, dispositivos ou pessoas. De acordo com o site av-test, a cada dia, são detectados cerca de 250 mil programas maliciosos. Hoje em dia, estamos expostos a um volume realmente enorme de programas malignos, e estamos perdendo a batalha contra eles. Um gráfico recente estima que no ano de 2018 já existam mais de 800 milhões de malwares espalhados. Em 2010, esse número era de menos de 50 milhões. A forma como o malware gera danos pode ser útil para categorizar qual o tipo de malware que está trazendo alguma ameaça para você. Algumas categorias importantes: Virus Programas que se prendem em arquivos limpos com o objetivo de infectá-los e propagar o programa contaminado. Eles podem se espalhar através da Internet, em anexos de e-mails, etc. Normalmente, eles são ativados ao se executar um arquivo contaminado. Rootkits São programas que tem a intenção de permitir um acesso completo de um sistema por um atacante remoto. Os rootkits podem ser instalados ao se abrir um conteúdo como um anexo de e-mail ou um belo arquivo Powerpoint que a sua tia te enviou. Ao instalar um plugin no seu navegador de Internet, ou até mesmo uma falha de segurança do seu sistema operacional. O objetivo do rootkit é se camuflar no sistema, substituindo por exemplo, processos e aplicações legítimas por cópias alteradas que podem monitorar e atuar sobre o que está sendo feito no computador. Remote Access Trojans (RAT) São programas que se camuflam nos dispositivos e abrem uma porta de acesso para um atacante (chamado de backdoor). Essa porta fica discretamente aberta, aguardando um chamado do atacante para atuar. Uma vez que um sistema está infectado com um RAT, o atacante pode utilizar esse sistema para tentar infectar outros sistemas ou para coordenar um ataque a outro sistema, utilizando esta máquina contaminada (que chamamos de zumbi) como parte de uma botnet (rede de máquinas contaminadas utilizadas por cibercriminosos para conduzir ataques distribuídos). Ramsonware O ramsonware é um programa que tem o claro objetivo de extorquir uma vítima. Em inglês, ransom significa resgate. A ideia do programa é simples. Ele explora alguma vulnerabilidade de um sistema (seja a abertura de um anexo estranho, a abertura de um documento com macros, uma falha em um software desatualizado, etc.) para entrar em um sistema. De forma sorrateira, ele criptografa todos os arquivos do sistema, bloqueia o seu acesso e cobra um valor monetário para liberar o acesso aos dados. Por utilizar a criptografia para o mal, dificilmente uma pessoa do bem conseguiria descobrir a senha para descriptografar o conteúdo e acabam pagando o resgate. A recomendação é não pagar o resgate, pois além de mostrar para o criminoso que o crime compensa, ainda existe o risco de você pagar e continuar sem os seus arquivos. O atacante é uma pessoa do mal. Ele não tem ética e nem honra. Portanto, nada garante que ele vá ser bonzinho e devolver os seus dados. Vamos lembrar do modelo zero de confiança. Para se proteger, nada como ter uma cópia de arquivos importantes em diversos provedores de nuvem ou em um hd externo (depende sempre do valor da informação que você quer proteger). Vale relembrar que recentemente tivemos o ataque chamado de WannaCry, que foi um ramsonware que utilizou uma falha em sistemas Windows para propagar um malware em escala global. Diversas instituições como hospitais, escolas, escritórios de advocacia, fabricantes de carros, foram afetadas e tiveram severas perdas. Keyloggers, Screenloggers, etc. Os loggers, como o nome diz, são programas que tem o objetivo de capturar sua atividade no computador. Seja o que você digitou no teclado, as telas do que acessou, o áudio do seu microfone ou até a sua webcam. O atacante pode utilizar isso para para roubar contas e acessos, ou até mesmo para extorsão e espionagem. É interessante notar que existem ataques de engenharia social onde o atacante nem ao menos conseguiu capturar atividades no seu computador. Mas ele conduz um processo de ameaça que faz você acreditar que o atacante possui essas atividades. Por exemplo, tenho casos de amigos que receberam por email ameaças que diziam que tinham se infiltrado no computador desse meu amigo e capturado cenas constrangedoras dele assistindo pornografia em seu computador. E que esse meu amigo precisaria enviar bitcoins para um local específico se não quisesse ter essas informações divulgadas. Spyware Os spywares são parecidos com os loggers, no que tange a captura de informações do usuário. Só que geralmente a finalidade aqui é aprender o comportamento do usuário para depois ofertar um produto direcionado, ou entender se um cliente usa um produto da concorrência, etc. Adware, Browser Hijacking Os adwares são programas que geralmente se disfarçam de plugins de um navegador, e tem o objetivo de fazer propagandas e gerar conteúdos não solicitados. Na minha experiência, os maiores alvos são tias, tios e parentes próximos. Sempre preciso remover adware dos seus computadores ao visitá-los. Brincadeiras a parte, os usuários mais leigos acabam clicando em links e pop-ups sem saber o que estão fazendo e acabam instalando barras de procura e outros itens que atrapalham a experiência do usuário além de poder enviar dados de uso para pessoas má-intencionadas. O browser hijacking consiste em comprometer o navegador de um usuário para redirecioná- lo para sites de propaganda, gerando receita para o atacante. Ou até, redirecionando o usuário para um site falso com o objetivo de capturar suas senhas. Phishing, SMShing, Vishing Os ***shing tem o objetivo de enganar o usuário. Eles se passam por produtos ou serviços verdadeiros e tentam direcionar o usuário a tomar uma ação como clicar em um link, o que acaba levando o usuário para um local onde ocorre a infecção do dispositivo do usuário. O Phishing por exemplo é o envio de emails falsos. Por exemplo, um belo dia você abre a sua caixa de email e vê umamensagem do seu banco, avisando que ocorreu um ataque na sua conta e que você perdeu dinheiro. Para acionar o banco e resolver basta clicar em um link do email. Ou você recebe um email da receita federal dizendo que é possível adiantar a restituição do imposto, bastando acessar um site. Todos estes são exemplos reais de emails falsos, que levam o usuário a um site falso de banco ou da receita e pede a inserção de dados. Esses dados serão utilizados contra o usuário. O SMShing é igual ao Phishing, só que através de mensagens de celular. Por exemplo, você pode receber um SMS que diz que você foi sorteado pela operadora para ganhar um novo aparelho, bastando clicar no link enviado para pegar o prêmio. Tome cuidado e desconfie de tudo. O Vishing é o uso de engenharia social através de telefone para enganar pessoas, se passando por uma pessoa ou empresa confiável. Por exemplo, uma pessoa pode ligar para você, se passando pelo seu banco, para pedir algumas confirmações e dados pessoais. Ou podem te ligar do seu banco para avisar que o seu cartão foi clonado e que você precisa informar os 3 dígitos de trás do cartão para que o atendente possa cancelar. Tome muito cuidado com ligações iniciadas da empresa para você. Se for o caso, mantenha a calma, peça o número do protocolo. Em seguida, ligue para a empresa oficial e confirme se realmente ocorreu alguma coisa de errada. Um caso muito comum no Brasil é relacionado com prestação de serviços de telecom. Um falso atendente te liga para avisar de algum problema na sua Internet que requer manutenção. Ou algo parecido. Use a criatividade. Então, uma elaborada trama permite agendar uma visita técnica. Um profissional uniformizado com a vestimenta da prestadora de serviço interfona na hora e dia solicitados. Ele sobe pro seu apartamento e parabéns. Você foi sequestrado, roubado, ou ameaçado. Sempre busque canais oficiais de prestadoras e confirme se de fato eles que ligaram. Engenharia Social A engenharia social é relacionada com a manipulação de pessoas, de forma a extrair informações confidenciais ou fazê-las executar ações em benefício dos atacantes. Por exemplo, um atacante pode fazer uma ligação se passando por um diretor de uma empresa, e pressionar um funcionário abaixo na hierarquia a liberar o acesso a um sistema. Se sentindo coagido, o funcionário acaba fornecendo o acesso, com medo de represálias. Outro exemplo seria um funcionário que fica amigo de uma secretária com a intenção de ter acesso ao seu computador e roubar informações sigilosas e acessos de altos executivos de uma empresa. Todos os ataques anteriormente mencionados também se utilizam da engenharia social. Por exemplo, um email falso (phishing) sobre uma conta atrasada usa a psicologia para saber que uma multa faz o usuário temporariamente se esquecer da segurança e faz o usuário ficar ansioso para resolver o problema para não levar prejuízo. Pirataria de Software e Torrents Uma péssima prática realizada no Brasil é a de pirataria de software. A alta carga tributária, somada a desigualdade social e baixa renda da população leva muitas pessoas a buscarem alternativas gratuitas ou muito baratas para adquirir programas importantes para elas. Uma pessoa precisa por exemplo pagar quase metade de um salário mínimo só para comprar um Windows 10 legítimo. O grande risco oculto na pirataria (além da ilegalidade e do prejuízo para os vendedores e produtores) é justamente as possíveis falhas de segurança. Se um software legítimo, adquirido de uma fonte legítima, já é passível de ter falhas de segurança, imagine um software pirata, feito ou modificado por sabe-se lá quem. Esse software, além de geralmente não permitir atualizações, pode estar recheado de todas variantes de malware e se voltar contra você quando você menos esperar. Se você pretende armazenar dados importantes em seu computador, um importante passo é garantir que ele só execute software legítimo. 4 - Ferramentas de defesa e boas práticas Um bom desenvolvedor de software é alguém que sempre olha para os dois lados antes de atravessar uma rua de mão única - Doug Linder Antivirus e Anti-Malwares A ferramenta mais conhecida e utilizada para se proteger são os anti-vírus/anti-malwares. Como o nome diz, os anti- vírus são ferramentas que varrem o seu computador na busca de padrões ou assinaturas que se assemelham a ataques ou exploração de vulnerabilidades. Ao detectar, o anti-vírus pode colocar esse material em quarentena ou sugerir a exclusão dos mesmos. Hoje em dia as ferramentas de anti-vírus estão bem evoluídas e não se limitam a apenas essa atividade. Em alguma, você consegue submeter um arquivo baixado para um time de especialistas avaliar, e até detectar que algum código malicioso está criptografando arquivos e atuar para bloquear isso (bloqueando por exemplo um ataque de ramsonware). Sempre tenha um anti-vírus bem configurado e instalado. Um anti-malware gratuito excelente (com suporte para Windows, MacOSX e Android) é o Malwarebytes ( https://br.malwarebytes.com/ ). Firewall Os firewalls são programas que atuam como uma barreira de entrada/saída. Eles funcionam como um porteiro/segurança de um condomínio, que possui uma lista com quem pode e não pode entrar. E ele garante que a lista será obedecida à risca. No caso dos computadores, o firewall pode definir quais serviços podem enviar e receber dados, e por quais portas TCP/UDP esses dados serão enviados. Caso não saiba o que é TCP e UDP, não se preocupe. Uma analogia é uma continuação da atividade do porteiro do condomínio. Imagine agora que além de saber se uma https://br.malwarebytes.com/ pessoa pode ou não entrar, ele também pode escoltar a pessoa e garantir que ela só possa entrar pela porta principal (porta TCP ou UDP) de um apartamento (computador), e que só possa sair pela porta da cozinha. No TCP/UDP, tecnicamente falando, sempre tratamos um endereço (no caso, um endereço IP, que poderia ser uma pessoa que quer interagir com um apartamento) e uma porta (que poderia ser a porta principal do apartamento, porta da cozinha, porta de serviços, etc.). No firewall, existem um conjunto de regras que dizem para cada pessoa, quais apartamentos ela pode acessar e por onde pode entrar e sair. Se quiser complicar, ainda daria para definir por exemplo um horário onde a pessoa poderia entrar, ou quantas vezes a pessoa poderia entrar. Tudo isso para garantir a segurança do apartamento. Uma pergunta que fica no ar é: para garantir a segurança do meu computador, eu preciso saber de todos os endereços IPs que por ventura eu possa vir a interagir? A resposta é não. O firewall para computadores de usuários finais possui interfaces amigáveis que perguntam sempre que alguém bate em uma porta. Daí você analisa se deseja permitir temporariamente, ou tornar isso uma regra permanente. Além disso, uma boa política é a política de bloquear todos os acessos e só avisar ao porteiro sobre as pessoas que você de fato quer que entrem (whitelist). Isso faz muito mais sentido do que permitir tudo e só bloquear quem você não quer ver em seu apartamento (blacklist). Seria algo incontrolável. Como exemplos de firewall, temos o Windows Defender para Windows 10. No MacOSX temos um firewall nativo do sistema e no Linux, geralmente temos alguma variante como o IPtables, IPCop, UFW (firewall padrão na distribuição Ubuntu). Navegadores Web Para a maioria dos usuários, os navegadores como o Mozilla Firefox, Apple Safari ou Google Chrome são a porta de entrada para a Internet. A recomendação geral é sempre manter o seu navegador atualizado. É importante notar, no entanto, que hoje em dia temos navegadores com alto nível de segurança como o Google Chrome, mas ao mesmo tempo, existe um desafio de privacidade. Conforme falamos anteriormente é desafiador encontrar uma solução que garanta segurança e ao mesmo tempo garanta total privacidade. No caso do Google Chrome,ele oferece alertas de ameaças como sites que foram denunciados ou detectados como maliciosos ou phishing. Além disso, existem avisos bem chamativos caso um site utilize um certificado inválido ou vendido. Por fim, o Chrome possui atualizações automáticas de segurança, que não dependem do usuário. Conforme falamos antes, não atualizar aplicações e sistemas é um dos pontos de maior risco em segurança. Se você busca segurança e também um pouco de privacidade, uma recomendação é o navegador Brave. O Brave por padrão possui extensões que bloqueiam propagandas e ferramentas de rastreio de usuário. Ao bloquear essas propagandas e ferramentas de rastreio, você ganha um benefício adicional que é a maior velocidade nos sites, que carregam menos componentes. Além disso, se você utilizar uma aba anônima no Brave, ele utiliza a rede Tor para proteger seu histórico de navegação e sua localização, de forma criptografada. Curiosidade: Em novembro de 2020, foi descoberta uma falha de segurança no Brave, que estava relacionado com o fato de que alguns acessos na aba anônima não estavam suficientemente “anonimizadas”. Os desenvolvedores já liberaram um update com a correção desta falha. VPN VPNs, ou Redes Virtuais Privadas, funcionam como uma camada de segurança adicional para os usuários. Imagine o seguinte. Você mora em uma casa e se sente seguro dentro dela. Mas você precisa visitar algum parente seu, que mora em uma região perigosa, repleta de assaltos e violência urbana. Agora imagine que você tivesse a capacidade de construir um túnel por debaixo da terra conectando a sua casa com a casa do seu parente. Independente da hora do dia ou da situação urbana, você poderia ir e vir entre as casas com uma grande segurança, bastando caminhar por dentro do túnel. Se você quer levar pacotes ou encomendas, basta entrar no túnel e entregar. No mundo da tecnologia, a VPN funciona da mesma forma. a VPN cria um túnel seguro conectando você de uma ponta a outra. Do seu computador para algum outro serviço. Vamos evoluir na analogia. Agora imagine que a sua casa está em uma localização perigosa. Você tem medo de sair de casa pois pode ter seus bens furtados ou sua integridade ameaçada. E a casa do seu parente fica em uma região segura e protegida em um condomínio com segurança 24/7. Dado que existe um túnel conectando as casas, você não precisa mais sair na sua rua e se expor ao risco. Basta que você sempre use a casa do seu parente como porta de saída. Se você quer ir na padaria, basta entrar pelo túnel, chegar na casa do seu parente, abrir a porta e ir. Na VPN é bem parecido com essa segunda analogia. Ao utilizar uma VPN para se conectar em um sistema ou na Internet, a sua conexão passa a sair sempre pelo local de destino da VPN. Na analogia, o seu endereço físico passa a ser o endereço do seu parente. No mundo da computação, o seu endereço (endereço IP) passa a ser um dos endereços disponíveis no servidor onde você se conectou. Um uso muito comum de VPN é no ambiente empresarial. Normalmente, os notebooks empresariais só permitem acesso à Internet através de uma VPN. Essa VPN cria um túnel seguro conectando o notebook ao ambiente empresarial. Dessa forma, o tráfego passa pela empresa e a empresa pode aplicar suas políticas de controle e segurança. Se alguma pessoa tentar identificar a origem de um acesso feito via notebook, ele vai chegar no servidor de VPN da empresa. Se você está em um ambiente público inseguro como um café, restaurante, ou algum local com Internet aberta, existe um grande risco de alguém conseguir espionar o seu acesso. Nesse cenário, uma VPN protegeria o seu acesso, mesmo ao acessar a Internet em ambientes inseguros. Pensando em pessoa física, você pode contratar serviços de VPN para estabelecer uma conexão segura com um servidor na Internet e utilizar Internet em ambientes inseguros. Você só precisa pesquisar bem sobre a reputação do serviço. Você pode ter um canal seguro até o servidor. Mas se o servidor for comprometido, seu acesso também será comprometido. E nesse caso, a privacidade do conteúdo que você acessa estará na mão desse provedor de VPN. Use com cautela. Outro caso de uso é: Você deseja acessar um serviço restrito para um país. Por exemplo, um sistema que só permite acessos dos Estados Unidos. Uma forma de contornar isso (assumindo que você será responsável por violar a política desse sistema) é usar uma VPN com um servidor nos Estados Unidos. Como o endereço que você vai receber será um endereço IP americano, você conseguira acessar o serviço mesmo estando no Brasil. Rede tor O nome da rede TOR vem de um projeto chamado de The Onion Router. Ou o roteador cebola. O nome foi inspirado em um projeto de um laboratório de pesquisa naval nos EUA. Resumidamente o TOR é um programa que esconde sua identidade na Internet e impede que terceiros visualizem suas atividades on-line. O termo roteamento em cebola vem da ideia de que existem diversas camadas de proteção ou embaralhamento para se chegar a um destino, o que protege a origem de alguns tipos de rastreamento. Você pode fazer o download do navegador TOR para Windows, Linux e Mac. Aqui, a analogia é a seguinte. Imagine que você deseja enviar um celular usado para um amigo seu que mora em outro estado. Em um cenário normal, o pacote seria enviado de um posto de atendimento do correio para uma central, e de lá seria enviado para um posto de atendimento próximo a casa do seu amigo. E de lá, um carteiro entregaria o pacote. Nesse cenário, fica fácil saber o trajeto do pacote. Se o pacote tiver um número de rastreio, isso fica ainda mais fácil. Agora imagine que ao invés de seguir esse caminho padrão, o pacote fosse enviado para uns 40 locais diferentes, indo e voltando por diferentes rotas, passando por diferentes carteiros e diferentes sistemas de courier e entrega. Obviamente ia demorar mais para o pacote chegar. Mas seria bem complicado rastrear a origem ou por onde esse pacote passou. A rede Tor funciona de forma parecida. As requisições enviadas são criptografias e enviadas por caminhos tortuosos e complexos, passando por diversos servidores espalhados pelo mundo. Ao fazer isso, fica mais difícil de alguém rastrear a origem dos pedidos, a localização geográfica do pedido, espionagem, etc. A contrapartida é que esse acesso será proporcionalmente mais lento devido aos vários locais por onde as requisições precisam passar. Criptografia A criptografia tem origens bem remotas. Aparentemente, lá pra 1900 antes de cristo, um chefe egípcio teve sua tumba adornada com hieróglifos (símbolos que representavam a linguagem escrita da época no Egito) “ fora do comum”. Estima-se que o objetivo era ocultar segredos religiosos ou aumentar o misticismo sobre o conteúdo ali registrados. A criptografia vem da ideia de não somente ocultar como proteger um conteúdo de forma que somente as pessoas que tenham as “ chaves” de acesso consigam acessar aquele conteúdo. Imagine que você precisa guardar uma joia cara em um cofre na sua casa. A joia é o ativo que você deseja proteger. E parar protegê-lo, você pode colocar um um cofre que pede uma senha de 6 dígitos para abrir/fechar a porta do cofre. Exagerando na analogia, imagina que você precisa enviar essa joia para alguma pessoa. Uma forma uma tanto quanto “ não-convencional” de envio seria enviar um cofre com a joia dentro para a outra pessoa. Assumindo que esse cofre é inviolável, mesmo que alguém roube o cofre, nunca conseguirá acessar a joia Mas se ele descobrir a senha de 6 dígitos, ele conseguirá abrir e roubar a joia Senão ele terá somente um grande peso de papel de aço balístico(o cofre fechado). Levando para o mundo online, é mais ou menos assim que funciona. Para toda informação (jóia) que eu preciso enviar, eu preciso colocar essa informação em um pacote seguro (cofre) e enviar para o destino. O destinatário (assumindo que ele saiba a senha) consegue abriro pacote e retirar a informação. Os algoritmos utilizados na Internet são feitos de forma que os pacotes são muito bem protegidos e as senhas de acesso são extremamente complexas. De forma que mesmo que um atacante consiga capturar o pacote em trânsito, ele não vai conseguir descobrir o seu conteúdo. Sempre que possível, utilize soluções baseadas em criptografia na Internet. Seja um navegador Tor, ou o acesso à um site via HTTPS. Sempre proteja o conteúdo enviado. Para os leitores mais curiosos ou avançados, vou explicar nos próximos parágrafos um pouco do funcionamento do HTTPS, que é um dos protocolos mais utilizados para comunicação segura na Internet. E para isso, vou aprofundar um pouco mais sobre os tipos de criptografia existentes. Se não estiver a fim de ler essa parte técnica, pode prosseguir para o próximo texto. O HTTPS basicamente é o uso do protocolo TLS (segurança na camada de transporte de dados) em conjunto com o HTTP, que é um protocolo utilizado para transmissão de sites web por exemplo. Para entender seu funcionamento, precisamos detalhar um pouco mais sobre as famílias de algoritmos de criptografia utilizados hoje em dia. Hoje em dia, existes duas famílias de algoritmos de criptografia. O primeiro deles é a criptografia simétrica. Ela é bem parecida com o cofre da analogia anterior. Na criptografia simétrica, existe uma chave ou senha única, que é utilizada tanto para criptografar um conteúdo quanto para descriptografar. É como se fosse a chave da sua casa ou do seu carro. Você usa a mesma chave para abrir e fechar a porta. Existe também um outro tipo de criptografia, chamado de criptografia assimétrica. Essa criptografia possui uma propriedade interessante. Ela é a seguinte. Existem sempre duas chaves. Uma delas chamamos de chave pública. A outra, de chave privada. Tudo que é criptografado pela chave pública, só pode ser descriptografado pela chave privada. E tudo que é criptografado pela chave privada, só pode ser descriptografado pela chave pública. É como se a gente tivesse um cofre com duas chaves. E se foi a chave 1 que fechou, somente a chave 2 abre. E se a chave 2 fechou, somente a chave 1 abre. Como o nome diz, a chave privada é só nossa e só a gente tem acesso. A chave pública pode ser divulgada publicamente. Curiosidades a parte, a criptografia simétrica, por ser um algoritmo mais simples, pode ser muitas vezes feita por hardware específico, o que permite que ela tenha muita performance. Por sua vez, a criptografia assimétrica é muito custosa em termos de processamento. Voltando ao cenário da Internet. Vamos assumir que você abriu um navegador web e digitou https://www.google.com. Ao fazer isso, você precisa criar uma conexão segura com algum dos servidores do Google. Imagina que a gente vai usar a criptografia simétrica (chave única) para enviar dados protegidos pro Google. Mas daí vem uma pergunta: Como eu envio essa chave única para o Google? Como eu faço para transmitir essa chave de forma segura? Afinal de contas, se eu enviar essa chave pela Internet, alguém pode interceptar a chave e passar a espionar o que eu estou enviando para o Google. Para solucionar isso, vamos utilizar a criptografia assimétrica. Vai funcionar assim. O Google quer se comunicar comigo. Para isso, ele codifica a mensagem com a sua chave privada e me envia. Eu pego a chave pública do Google, aplico, e faço a decriptografia da mensagem. Se eu quero mandar algo pro Google, eu criptografo a mensagem com a chave pública do Google. Como somente o Google tem a chave privada do Google, só ele consegue descriptografar. Tudo parece perfeito né? Só que existe um detalhe. A criptografia assimétrica é muito custosa computacionalmente. Não dá para usar o tempo todo. Como o TLS funciona afinal de contas? Ele usa a criptografia assimétrica para transmitir de forma segura uma chave de criptografia simétrica. Depois disso, dá para utilizar uma criptografia simétrica (que teve a chave transmitida de forma segura através de criptografia assimétrica), que tem melhor performance para trocar dados de forma segura. Bem interessante não? Canary Tokens Uma ferramenta pouco conhecida e de extremo valor são os Canary Tokens. O nome do Canary vem de um método antigo utilizado por mineradores. Para detectar o baixo oxigênio em uma região da mina de carvão, os mineradores levavam um canário em uma gaiola. Se o canário começasse a se agitar ou estressar, era sinal de risco por exposição a gases tóxicos. E a mina era evacuada. Antigamente, os canários acabavam morrendo. Mas uma evolução foi a criação de uma gaiola com ressuscitação que permitia re-oxigenar o canário e mantê-lo vivo. A sociedade de proteção aos animais agradece. Levando para o cenário atual, o Canary Token é um mecanismo para saber se algo está errado. Vamos pensar no seguinte cenário. eu possuo meu computador na minha empresa. Mas tenho medo de quem alguém esteja acessando alguma informação confidencial armazenada na minha máquina. Geralmente, um atacante, ao acessar uma máquina, vai buscar arquivos confidenciais. Se ao entrar na máquina ele encontrar uma pasta chamada “ senhas do Internet banking”, ele ficará muito tentado a clicar. Se ele encontrar nessa pasta um arquivo chamado senhas_banco_X.docx, ele certamente irá abrir o arquivo. A curiosidade é uma grande força. A pergunta que fica no ar é: como você vai saber se alguém acessou a sua máquina? O Canary Token pode ajudar nesse cenário. Imagine o seguinte. Eu sei que minha máquina pode ser comprometida. Em um cenário normal, somente eu acessaria a máquina. Para capturar um atacante (como um rato atraído para uma ratoeira), eu posso criar um arquivo falso chamado senhas_banco_X.docx. Esse arquivo pode até conter algumas senhas incorretas. Mas ao abrir o arquivo, esse arquivo falso automaticamente chama um endereço web e dispara um gatilho que enviar um SMS para o meu celular avisando que o meu notebook foi comprometido. Esse é o poder do token. Uma boa prática é espalhar tokens identificáveis por todos seus ambientes. Então você pode colocar um arquivo senhas.docx no seu Dropbox, OneDrive ou GoogleDrive. Ou deixar salvo na sua caixa de email um email chamado: Senhas atualizadas. Ou uma imagem numa pasta chamada fotos_íntimas. Se um atacante acessar quaisquer desses arquivos ou dados, um alarme silencioso será disparado e você saberá que o seu email, o seu drive ou o seu computador foram comprometidos e pode tomar as medidas pertinentes. Existem alguns sites que permitem facilmente montar seus tokens. O importante é sempre colocar um descritivo claro explicitando o que significa a ativação. Algo como: Arquivo do Microsoft Word colocado no diretório C:\User\hugo\passwords\password.doc. Caso contrário, você pode ter disparado um token e vai ficar sem saber o que ocasionou o disparo. Nesse caso, o Canary Token perde sua utilidade. Dica do Autor: Alguns sites que te ajudam a gerar Canary Tokens: https://canarytokens.org/generate e https://www.stationx.net/canarytokens/ . Senhas e autenticação, two factor Conforme já falamos nesse livro, é normal associar senhas complicadas com segurança. Isso não está de todo errado. Com o avanço das técnicas de quebra de senhas, a recomendação é ter senhas complexas, combinando caracteres maiúsculos, minúsculos, números, símbolos especiais ($#%&*). E senhas com pelo menos 12 caracteres, sendo recomendado um número muito maior. Quanto maior melhor. Algumas dicas importantes: https://www.stationx.net/canarytokens/ ❖ Senhas com caracteres maiúsculos, minúsculos, números e símbolos especiais; ❖ Senhas com o número máximo de caracteres possível (pelo menos 12); ❖ Utilizar uma senha diferente por aplicativo/site/serviço; ❖ Evitar usar padrões para senhas para ajudar na memorização como senha@site1, senha@site2, etc. A grande recomendação é não depender somente de uma senha forte e combinar pelomenos algum outro fator de autenticação (autenticação em dois fatores) como um token enviado por SMS, ou um token gerado em aplicativo, etc. Mesmo que um atacante consiga a sua senha de email por exemplo, ele não conseguirá acessar a sua conta sem a segunda autenticação (a não ser que ele tenha também roubado/furtado o seu celular e tenha a senha de acesso). Você vai estar dificultando a vida do atacante. Uma solução interessante para armazenar esses tokens de autenticação em dois fatores é o Authy. Do ponto de vista de senhas, a recomendação é ter um gerenciador de senha. Este tipo de solução protege suas senhas de forma criptografada. Basta que você proteja a aplicação com uma senha forte. Algumas soluções inclusive tem ferramentas de geração de senhas seguras. Uma recomendação seria utilizar o LastPass ou o Bitwarden. Dica do Autor: no início de 2021, o LastPass mudou sua política para o plano gratuito e restringiu o seu uso para apenas Desktop ou Mobile (não dá mais para ter o Lastpass configurado nos dois). Por esse motivo, recomendamos experimentar o Bitwarden. 5 - Segurança no dia a dia Senhas são como roupas íntimas: Não deixe as pessoas verem, troque-as com frequência, e não compartilhe com estranhos - Chris Pirillo HDs Externos e backups Uma prática bem comum é o uso de HDs externos para backup. Ou até pendrives. Fique atento que esses tipos de dispositivos são facilmente furtados ou perdidos. Sempre criptografe os HDs com senhas fortes. E guarde ativos de valor em ambientes protegidos. Se precisar de uma segurança ainda maior, opte por devices com criptografia por hardware como o DataLocker DL3. Webcam e Microfone Infelizmente vivemos em um mundo inseguro. E sabemos que a qualquer momento, podemos ter informações preciosas expostas. Com o avanço dos computadores e da tecnologia, cada vez mais os dispositivos como Desktops e Notebook são adquiridos de fábrica com microfones e câmeras. O que muita gente não sabe é que é relativamente fácil para um atacante comprometer esses dispositivos e passar a utilizá-los como mecanismos de espionagem ou até de extorsão. Muitas pessoas por exemplo possuem um computador em seus quartos. Esses dispositivos, se comprometidos, podem permitir que um atacante monitore e grave todos os sons e vídeo do ambiente, como uma câmera de segurança. Já parou para pensar que tudo que você faz ou já fez em seu quarto pode ter sido gravado por uma pessoa com más intenções? Uma atitude simples que você pode fazer é tampar a webcam quando não estiver utilizando. Pode ser com um adesivo, silver tape, fita isolante, o que for. Ou comprar um pequeno acessório de plástico que permite tampar e destampar a câmera com facilidade. Nesse momento, alguns podem perguntar: A minha webcam, quando ligada, acende uma luz forte azul ou verde. Se alguém me monitorar, eu saberei pois a luz estará acesa. Para um atacante que já comprometeu o seu computador, apagar o led da câmera é o menor dos problemas. Então não conte com isso. Para os mais preocupados, é possível adquirir computadores que possuem interruptores físicos para controlar o acesso à webcam ou ao microfone. Por exemplo, temos a linha Librem da Purism (https://puri.sm/products). A empresa fabrica dispositivos para os mais preocupados em segurança como o Librem13. O Librem13, além de ter interruptores para controlar o hardware de webcam e microfone, ainda possui um interruptor (chamados de kill switch) para ligar e desligar o bluetooth ou wifi, de forma que o usuário pode também controlar os sinais de rádio que saem de seu computador. Se você realmente quer um grau de segurança elevado, é importante ter um computador que esteja alinhado com os seus objetivos. Notebook O notebook é um dos maiores alvos dos atacantes. Além de todos os ataques virtuais, ainda existem os ataques físicos como furtos e roubos. Mantenha sempre o sistema operacional atualizado. Além disso, um notebook pode ser facilmente comprometido, bastando que o atacante tenha acesso físico ao mesmo por um período de tempo. Um conhecido tipo de ataque é chamado de Evil Maid Attack, ou ataque da “ empregada do mal”. Ele consiste em um atacante, que ao ter acesso físico ao computador (como uma empregada que faz a limpeza da sua casa teria), espeta por exemplo um pendrive que instala um keylogger ou modifica o sistema operacional do computador. Após isso, a máquina está infectada e pode ter sido atingida por uma ou mais das categorias de malwares que já apresentamos. Para diminuir a chance de problemas, os sistemas operacionais mais atuais como Windows, Linux, e MacOSX, já possuem mecanismos nativos de criptografia completa do disco. Esse mecanismo dificulta que um atacante consiga descobrir o conteúdo armazenado em um hd de um notebook roubado. No MacOSX, pode-se utilizar o FileVault, nativo do sistema operacional. No Windows, existe o BitLocker. Além da criptografia total do disco, é interessante pensar em se ter uma partição ou pasta criptografada a parte, para guardar arquivos sigilosos com mais uma camada de segurança.Para se preparar parar um eventual furto, deve-se ter anotado em local seguro: ❖ Lista dos aplicativos sensíveis instalados no notebook ❖ Lista de serviços consumidos via notebook, como sites de reserva, sites de e-commerce, email, Whatsapp, Telegram, Spotify, Netflix, etc. ❖ Lista de aplicações e chaves de acesso corporativas como email corporativo, chave de acesso para sistemas internos, acesso VPN, etc. ❖ Lista de serviços conectados como iCloud, Dropbox, GoogleDrive Em caso de furto, deve-se acessar essa lista e trocar imediatamente todas credenciais de acesso para esses serviços. Avisar os responsáveis da empresa onde você trabalha para revogar todos acessos de sistemas corporativos. E para alguns sistemas, efetuar o apagamento remoto dos dados contidos no computador. Outra recomendação geral importante é evitar armazenar informações importantes em dispositivos com alta mobilidade. Saiba que a perda de um notebook é algo que pode acontecer e se prepare para o pior. Desktop (computadores de mesa) Para o desktop, as recomendações são as mesmas das recomendações para o notebook. Além disso, por ser um dispositivo que fica geralmente imóvel em um local a maior parte do tempo, a chance de um atacante com acesso físico poder adulterar sorrateiramente o desktop são maiores se você está por exemplo em um ambiente corporativo. Evite deixar o desktop desbloqueado e com acesso a sua conta. Dependendo da criticidade das informações armazenadas ou trafegadas no desktop, deve-se ter o cuidado adicional de monitorar portas USB. Geralmente, pelo fato do Desktop não ter muita mobilidade, a parte traseira do mesmo, onde são conectados a maior parte dos dispositivos USB, pode passar despercebida. Existem devices chamados de keyloggers físicos. Esses dispositivos podem possuir memória interna e são conectados entre o teclado USB e a entrada USB do computador. De forma imperceptível ele passa a capturar tudo o que foi digitado. Depois de um período, basta o atacante retornar ao local e retirar o keylogger USB para ter acesso a tudo o que foi digitado, como sites acessados, emails redigidos, senhas digitadas, números de cartão de crédito, etc. Sistemas Operacionais Hoje em dia existem as mais diversas opções de sistemas operacionais. Temos desde o clássico Windows, passando pelo MacOSX, centenas de distribuições Linux até o ChromeOS (modificação baseada em Linux para dispositivos Google). Para o smartphone, temos o Windows Phone (projeto abandonado), Android e iOS. A escolha do sistema operacional vai do gosto do usuário. Mas é importante atentar para alguns pontos no que tange a segurança. Um ponto comum para todos eles é: mantenha sempre o sistema atualizado, com as últimas atualizações de segurança disponibilizadas pelos fabricantes. Outro ponto a se considerar é: sistemas fechados
Compartilhar