Baixe o app para aproveitar ainda mais
Prévia do material em texto
Revisão técnica Carlos Augusto Liguori Filho Líder de projetos e pesquisador do Centro de Ensino e Pesquisa em Inovação da FGV Direito SP. Doutorando em Filosofia e Teoria Geral do Direito pela Universidade de São Paulo. Mestre em Direito e Desenvolvimento pela FGV Direito SP (2016). Bacharel em Direito pela Universidade de São Paulo (2014). Egresso da Escola de Governança da Internet do Comitê Gestor da Internet no Brasil (CGI.br, 2017) e da South School on Internet Governance (2017). Coordena e desenvolve pesquisas nas áreas de Direito Digital; Políticas de Cibersegurança e Direito; Privacidade e Proteção de Dados; Fake News nas Eleições Brasileiras de 2018; e Propriedade Intelectual. APRESENTAÇÃO DO CURSO ......................................................................................................................................... 1 OBJETIVOS ................................................................................................................................................................................................. 1 Objetivo geral ............................................................................................................................................................................. 1 Objetivos específicos ............................................................................................................................................................ 2 AUTORES DA APOSTILA .................................................................................................................................................................. 2 ESTRUTURA DO CURSO .................................................................................................................................................................. 3 BIBLIOGRAFIA COMENTADA ........................................................................................................................................................4 INICIANDO O ESTUDO ..................................................................................................................................................... 7 UNIDADE I – PERIGOS VIRTUAIS ................................................................................................................................ 9 MALWARE ................................................................................................................................................................................................... 9 UNIDADE II – PRÁTICAS SEGURAS .......................................................................................................................... 17 DADOS PESSOAIS E SENHAS .................................................................................................................................................... 17 REDES SOCIAIS E PRIVACIDADE ............................................................................................................................................. 19 CRIPTOGRAFIA .....................................................................................................................................................................................20 UNIDADE III – EM CASO DE EMERGÊNCIA... ........................................................................................................ 23 RECAPITULANDO ............................................................................................................................................................ 25 BIBLIOGRAFIA .................................................................................................................................................................. 26 GLOSSÁRIO........................................................................................................................................................................ 27 1 Assim como o “mundo off-line”, a internet também oferece uma série de perigos, alguns mais perceptíveis, outros menos. Da mesma forma que no passado, quando éramos crianças, e fomos ensinados sobre os perigos do mundo real, hoje em dia, também é importante sermos conscientizados sobre os perigos do mundo virtual, pois parte da nossa intimidade, dos nossos recursos financeiros e, inclusive, da nossa integridade física pode ser atacada na internet. Conhecer esses perigos também nos permite adotar comportamentos de prevenção, uma vez que hábitos simples que assimilamos podem reduzir muito os tantos riscos que existem no mundo virtual. Além disso, entender o porquê de adotar esses comportamentos implica uma mudança de cultura frente à internet, o que leva o usuário a ter uma postura ativa e consciente perante as tantas novidades que lhe são apresentadas. É nisso que se baseia o presente curso. A partir de um tema tão amplo e complexo como a segurança digital, fizemos um pequeno recorte que pode proporcionar a você dicas importantes, além de práticas para lidar com o tema no dia a dia. OBJETIVOS OBJETIVO GERAL Entender alguns dos principais riscos que existem na internet e como a adoção de práticas seguras pode ajudar a diminuí-los. APRESENTAÇÃO DO CURSO 2 OBJETIVOS ESPECÍFICOS • identificar algumas das principais práticas maliciosas que ocorrem na internet, como a disseminação de malwares e phishings e • assimilar práticas relacionadas ao cuidado com senhas e dados pessoais que reduzam os riscos mencionados. AUTORES DA APOSTILA Cesar André Machado de Morais Pesquisador do Centro Internacional de Direitos Humanos de São Paulo (CIDHSP), da Academia Paulista de Direito (APD). Mestrando em Direito e Desenvolvimento pela FGV Direito SP. Bacharel em Direito pela Universidade de São Paulo (USP), campus Ribeirão Preto. Guilherme Forma Klafke Líder de projetos e pesquisador do Centro de Ensino e Pesquisa em Inovação da FGV Direito SP. Doutorando (2019) e mestre (2015) em Direito Constitucional pela Universidade de São Paulo. Bacharel (2011) em Direito pela Universidade de São Paulo. É colaborador da Sociedade Brasileira de Direito Público desde 2011, na qual coordenou a Escola de Formação Pública (2017). Foi professor de Filosofia do Direito da Faculdade de Direito de São Bernardo do Campo (2017-2018). Coordena e desenvolve pesquisas nas áreas de Direito Constitucional, Jurisdição Constitucional, Ensino Jurídico, Ensino Participativo, Direitos Humanos Digitais e Filosofia do Direito. 3 Stephane Hilda Barbosa Lima Pesquisadora do Centro de Ensino e Pesquisa em Inovação da FGV Direito SP. Doutoranda em Teoria do Estado pela Universidade de São Paulo. Mestre (2018) em Direito Constitucional e graduada (2014) em Direito, ambos pela Universidade Federal do Ceará, além de especialista (2016) em Direito Tributário e Processo Tributário pela Escola Jurídica Juris. Desenvolve pesquisas e atividades de ensino nas áreas de Ensino Jurídico, Metodologias Participativas, Direitos Humanos Digitais, Direito Educacional, Educação Digital e Regulação. Tatiane Guimarães Pesquisadora do Centro de Ensino e Pesquisa em Inovação da FGV Direito SP. Graduada (2019) pela Pontifícia Universidade Católica de São Paulo (PUC-SP). ESTRUTURA DO CURSO Neste curso, vamos abordar o conteúdo sobre segurança digital por meio da seguinte estrutura: • Iniciando o estudo Inicialmente, apresentaremos algumas situações hipotéticas e comentaremos brevemente a importância da temática da segurança na internet. • Unidade 1 – Perigos virtuais Abordaremos os principais “golpes” usados na internet atualmente, que são os vírus, os spywares, os spams e os phishings. Também aprenderemos como identificar cada um deles e como preveni-los. 4 • Unidade 2 – Práticas seguras Veremos quealguns comportamentos ajudam a diminuir os riscos que encontramos na internet, inclusive aqueles vistos no tópico anterior. • Unidade 3 – Em caso de emergência... E quanto aos casos em que o dano já tiver ocorrido? Por fim, aprenderemos que tanto as plataformas digitais quanto a legislação brasileira fornecem ferramentas para lidar com o ocorrido. BIBLIOGRAFIA COMENTADA CERT.BR. Cartilha de segurança para internet. 2. ed. São Paulo: Comitê Gestor da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/seguranca/. Acesso em: 1 jun. 2019. Cartilha produzida pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, responsável por cuidar da internet no país, tem 14 seções curtinhas que explicam o básico dos ataques de segurança na internet, as formas de se prevenir e de agir depois de sofrer com o problema. MATSU, Carla. Como conversar com o seu filho sobre cibersegurança?. NIC.BR. 2019. Disponível em: https://www.nic.br/noticia/na-midia/como-conversar-com-o-seu-filho-sobre- ciberseguranca/. Acesso em: 02 maio 2019. Texto que dá dicas para responsáveis por crianças e adolescentes de como conversarem sobre como se resguardar contra ataques de segurança na internet. Também aborda o controle parental de conteúdo da web. SAFER NET. Segurança digital e a infinidade de dados que compartilhamos na web. 2019. Disponível em: https://new.safernet.org.br/content/seguran%C3%A7a-digital. Acesso em: 02 maio 2019. A SaferNet disponibiliza uma série de conteúdos sintéticos e bastante informativos sobre segurança digital e dados pessoais. Na página sobre segurança digital, você encontrará vídeos e artigos sobre “busca segura na internet”, como garantir a segurança das informações, como se proteger contra golpes, como elaborar boas senhas, como fazer compras on-line com segurança, o que fazer se tiver sido vítima de golpes, dentre outros. 5 UNIVERSIDADE FEDERAL FLUMINENSE. Superintendência de Tecnologia da Informação. Cartilha de segurança na internet. [201?]. Disponível em: http://www.uff.br/sites/ default/files/paginas-internas-orgaos/cartilha_seguranca_na_internet_-_sti_.pdf. Acesso em: 28 ago. 2019. Cartilha feita pela Superintendência de Tecnologia da Informação, traz dicas e conteúdos básicos para que a pessoa se proteja em dispositivos móveis (smartphones, por exemplo), computadores e redes sociais. BRASIL. Ministério Público Federal. 2ª Câmara de Coordenação e Revisão. Roteiro de atuação: crimes cibernéticos. 3. ed. rev. e ampl. Brasília: MPF, 2016. Disponível em: http://www.mpf.mp.br/atuacao-tematica/ccr2/publicacoes/roteiro-atuacoes/docs-cartilhas/crimes- ciberneticos. Acesso em: 2 maio 2019. Esse roteiro de atuação é um guia para todas as autoridades de Justiça brasileiras, para a prevenção e o combate de crimes e ataques na internet. Trata-se de uma leitura de aprofundamento disponível e gratuita, percorrendo desde o básico até as ideias de governanças da internet e segurança da internet. 7 Para que possamos compreender como a segurança digital é fundamental para a nossa atuação no mundo virtual, vamos ter em mente as seguintes situações: Surgimento de itens estranhos no computador – Você estava precisando de um programa de computador que convertesse os seus vídeos em um formato que pudesse ser lido pela sua televisão. Uma colega lhe passou o link para o download de um programa que cumpria essa função, você o baixou, e deu tudo certo, pois conseguiu converter os vídeos da maneira que precisava. No entanto, no dia seguinte, ao utilizar o seu computador, você percebe algumas coisas estranhas, como barras de ferramentas que você não havia instalado e alguns links que não foram “favoritados” por você. O que pode ter acontecido? Solicitação de cliques indevidos em links maliciosos – Você recebeu um e-mail do suporte técnico de uma grande plataforma de e-mails com o seguinte título “ataques apoiados pelo governo podem tentar roubar sua senha”. Ao abrir o e-mail a mensagem diz que invasores apoiados pelo governo estão tentando roubar a sua senha e que isso só acontece com 0,1% dos usuários da plataforma em questão. Para evitar que isso ocorra, a mensagem diz que você deve alterar sua senha clicando num link fornecido. Invasão de conta particular em rede social – Sua conta de determinada rede social foi invadida e, até você perceber o ocorrido, foi enviada uma série de mensagens aos seus contatos, nas quais o invasor se passava por você e fornecia links maliciosos aos seus amigos. Como você deve agir nessa situação? Quando éramos crianças, nossos pais e professores nos ensinavam, a todo momento, a tomar conta de nós mesmos e a prestar atenção aos perigos que o mundo oferece. Por exemplo, você lembra de ouvir naquela época coisas como: “Olhe para os dois lados antes de atravessar a INICIANDO O ESTUDO 8 rua” ou “Nunca aceite coisas de estranhos”? Pois é, o tempo passa... e, quando crescemos, somos nós que começamos a ensinar nossos filhos, alunos, e outras crianças e adolescentes de nosso círculo sobre esses mesmos perigos. Por mais que a educação sobre a internet seja uma preocupação recente, já está na hora de encarar esse tema como um conjunto de ensinamentos básicos que precisamos aprender e também transmitir aos mais novos, seja no ambiente familiar ou em sala de aula. Essa necessidade é reforçada quando levamos em consideração que, cada vez mais cedo, as crianças e os adolescentes têm o primeiro contato com a internet, principalmente pelo uso dos celulares, e que as consequências de crimes virtuais ou práticas digitais nocivas podem ter consequências bastante graves, tanto para nós, como principalmente para os menores de idade. 9 Já sabemos que na internet existem tantos perigos quanto no “mundo real”. Logo, nesta unidade, veremos que perigos são esses e como é possível preveni-los. De todos eles, talvez os vírus sejam os mais conhecidos, visto que a maioria das pessoas tem uma noção do que sejam. Contudo, essa noção geralmente é bastante genérica: os vírus são entendidos como qualquer coisa que danifique o computador ou que tente “invadir” o dispositivo do usuário. Veremos, a partir das definições a seguir, que cada um desses perigos tem uma nomenclatura diferente e, portanto, saber como diferenciá-los é essencial para que se encontrem diferentes estratégias para preveni-los e combatê-los. Malware Os malware são uma categoria mais ampla de software malicioso, frequentemente confundida com os vírus. Por isso, desde já enfatizamos que todo vírus é um malware, mas nem todo malware é um vírus. O termo malware se origina da união das palavras malicious (malicioso, em inglês) e software (programa). Assim, os malware são qualquer tipo de software que se instale “sozinho” e cause danos ao computador (e também ao celular e ao tablet, dentre outros dispositivos digitais), realizando operações não desejadas, como apagar arquivos, transferir informações a terceiros sem autorização do usuário ou apenas causar transtornos ao usuário do dispositivo. Conforme mencionamos, os malware são uma categoria mais ampla que os vírus, mas foram estes últimos que incorporaram o sentido genérico que o termo malware carrega, isso porque os primeiros programas maliciosos ao longo dos anos 1990 – época de popularização do computador UNIDADE I – PERIGOS VIRTUAIS 10 pessoal – eram vírus e, assim, o termo se popularizou1. Existem vários tipos de malware, e você pode se informar mais sobre eles em um dos textos disponíveis no “para saber mais”. Nesta unidade, vamos tratar de apenas dois deles, os mais recorrentes, que são os vírus e os spywares. Vírus Os vírus são softwares (ou programas) desenvolvidos paramodificar nocivamente outros softwares instalados no computador. Conforme o próprio nome sugere, eles agem de modo semelhante a certos vírus biológicos: atacam um hospedeiro (no caso um arquivo/programa do computador) e ficam escondidos; a partir do momento que esse arquivo/programa é executado (ou aberto), eles se espalham para outros locais do computador. De maneira geral, a propagação dos vírus dá-se quando o usuário executa um arquivo ou programa sem conhecer a sua procedência, ou, quando utiliza CDs e pen drives já contaminados, por exemplo. Dentre os danos que eles podem causar, estão desde a simples exibição de mensagens aleatórias, a destruição de arquivos e programas, até a formatação (limpeza de tudo o que foi salvo) do computador e o roubo de senhas que nele estejam salvas2. • Como identificá-los? Os vírus são automaticamente identificados pelo antivírus, por isso, é importante mantê-lo atualizado. • Como se prevenir deles/combatê-los? É importante ter cuidado com os sites que você acessa. Para isso, existem algumas ferramentas (programas) gratuitas que o ajudam a identificar as ameaças dessas páginas. Você também encontrará um texto tratando sobre elas no “Para saber mais”. Além disso, também é importante ter cuidado com os arquivos/programas que você abre: de modo geral, você deve sempre se atentar para a extensão do arquivo, que é aquela sigla que aparece logo após o nome do arquivo/programa. Por exemplo, várias das fotos e imagens têm extensão “.JPG”, portanto, se você receber um arquivo que apareça como uma foto ou imagem, mas que tenha extensão “.EXE” pode ter certeza que se trata de uma ameaça. Por fim, é recomendável atualizar regularmente o Sistema Operacional do dispositivo, uma vez que várias das atualizações são feitas para corrigir vulnerabilidades das versões anteriores. 1 GARRET, Filipe. Qual a diferença entre vírus e malware?. TechTudo. 2017. Disponível em: https:// www.techtudo.com.br/noticias/2017/11/qual-a-diferenca-entre-virus-e-malware.ghtml. Acesso em: 1 jun. 2019. 2 CORDEIRO, Tiago. Como funciona um vírus de computador?. Super Interessante, Mundo estranho, Tecnologia. 2018. Disponível em: https://seguranca.uol.com.br/antivirus/dicas/duvidas/o-que-sao-virus-de-computador.html#rmcl. Acesso em: 1 jun. 2019. O que são vírus de computador?. UOL, Segurança Digital. Disponível em: https://seguranca.uol.com.br/antivirus/dicas/duvidas/o-que-sao-virus-de- computador.html#rmcl. Acesso em: 1 jun. 2019. ADAMI, Ana. Vírus de computador. Infoescola, informática. Disponível em: https://www.infoescola.com/informatica/virus-de-computador/. Acesso em: 1 jun. 2019. 11 Esses detalhes podem ser um pouco técnicos, mas não são tão difíceis de entender e facilitam muito. Se você tiver interesse, pode consultar o texto “Sinais de que um arquivo pode estar infectado (e você não deve baixá-lo!)”, disponível no “Para saber mais”. Spyware É um tipo de malware que, uma vez instalado em um computador (lembre-se, os malwares são instalados sem que o usuário esteja ciente!), começa a recolher e enviar informações sobre esse computador para o fraudador, que podem ser dados pessoais e confidenciais como logins, senhas, números de contas e outros dados bancários. Além disso, o spyware também pode ser usado para monitorar qualquer atividade on-line da vítima, o que é extremamente preocupante quando não se sabe o que há de ser feito com as informações coletadas! Também por meio do spyware é possível alterar configurações do computador da vítima (como a página inicial do navegador de internet, por exemplo, o que é bastante recorrente). • Como identificá-lo? Dentre os “sintomas” usuais, estão o aparecimento de barras de ferramentas que o usuário do computador não instalou, links e/ou favoritos que não foram adicionados por ele, dentre outras modificações que não foram feitas, mas simplesmente apareceram no computador. • Como se prevenir dele/combatê-lo? Da mesma forma como ocorre no caso dos vírus, é necessário ter instalado um antispyware de confiança (normalmente bons antivírus já cumprem essa função). Também é importante atentar-se às configurações de segurança do seu navegador, que variam. Por exemplo, as configurações do Google Chrome, do Internet Explorer ou do Opera geralmente são explicadas no próprio site de cada uma dessas empresas, e também em artigos muitos fáceis de encontrar na internet. Além disso, é recomendado que se bloqueie janelas de pop-ups, o que também pode ser feito a partir de guias específicos para os diferentes navegadores utilizados. Por fim, deve-se evitar baixar e instalar programas de origem desconhecida, uma vez que eles podem vir carregados de spyware3. 3 UOL. Spyware: o que é e como se proteger dele. UOL Segurança digital, 2013. Disponível em: https:// seguranca.uol.com.br/antivirus/dicas/curiosidades/spyware-o-que-e-e-como-se-proteger-dele.html#rmcl. Acesso em: 1 jun. 2019. 12 Spam Spam é o e-mail não solicitado, geralmente de cunho publicitário e com informações e/ou ofertas aleatórias ou irrelevantes para o usuário. Pode- se dizer que ele é semelhante a outras formas de propaganda do “mundo real”, como os panfletos que são colocados nas caixas de correio ou no para- brisa do carro, ou distribuídos na esquina; ou, ainda, as ligações telefônicas por meio das quais alguém nos oferece certo produto. Para coletar os endereços de e-mail para os quais serão enviados os spams, as pessoas ou organizações que utilizam essa prática fazem uso das informações coletadas por spywares, ou por meio de técnicas de varredura em páginas da internet e arquivos de lista discussão, por exemplo. O maior problema é que esses spams estão relacionados a ataques à segurança do usuário, sendo responsáveis, por exemplo, pela disseminação de malwares, golpes diversos e venda ilegal de produtos. Além disso, eles podem afetar os usuários de muitas outras formas, como: perda de mensagens importantes, por causa do grande volume de e-mails spam recebidos, e que acabam “abarrotando” a caixa de entrada; exibição de conteúdo impróprio ou ofensivo, como conteúdo pornográfico, frequentemente veiculado por essas mensagens; impacto no desempenho da conexão com a internet, uma vez que o volume de tráfico gerado pelos spams é grande; dentre vários outros. • Como identificá-los? Os spams costumam apresentar algumas características próprias, sendo as principais delas: campos dos remetentes e/ou destinatário vazios ou com nomes genéricos como “amigo@” e “suporte@”; palavras com grafia errada ou suspeita no campo “Assunto”; textos alarmantes ou vagos no campo “Assunto”, como “A sua senha está prestes a expirar” ou “Aqui estão as informações sobre o seguro que você solicitou”. Isso é feito na tentativa de confundir os filtros anti-spam e de atrair a atenção dos usuários4. • Como se prevenir deles/combatê-los? Dentre as estratégias de prevenção e combate aos spams, ressaltamos: • utilização de filtros de mensagens indesejadas, que podem ser ativados a partir das próprias funcionalidades do e-mail ou por meio de programas instalados no computador (ao ativar essa funcionalidade, é importante que o usuário verifique a caixa de spams do e-mail, de tempos em tempos, porque e-mails que não são spams podem erroneamente ser enviados para lá); • cuidado ao fornecer seu endereço de e-mail: por exemplo, em cadastros que podem levá-lo a receber e-mails indesejados no futuro; 4 CERT.BR. Spam, Cartilha de segurança para internet. 2. ed. São Paulo: Comitê Gestor da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/spam/. Acesso em: 12 jun. 2019. 13 • atenção às opções pré-selecionadas:em alguns formulários que preenchemos on-line, existe a opção de receber e-mails sobre promoções e lançamentos de produtos. Normalmente, ela já está selecionada; por isso, desmarque-a nas situações em que não deseje receber esse tipo de e-mail. Você pode encontrar outras dicas na Cartilha de segurança para internet que indicamos em “Fontes de consulta do curso”. Phishing Phishing vem de fishing, em inglês, que, literalmente, significa “pesca”. Trata-se de uma estratégia fraudulenta caracterizada por tentativas de obter ilicitamente dados pessoais de alguém, como e-mails, senhas, dados financeiros e bancários, números de cartão de crédito, dentre outros. No golpe, o fraudador usa e-mails e páginas da web, os quais se passam por contas e plataformas “oficiais” de instituições conhecidas, como bancos ou governo, mas que, na verdade, foram feitas especificamente para roubar os dados pessoais das vítimas. Isso acontece da seguinte maneira: o fraudador envia mensagens para e-mails, redes sociais, aplicativos, dentre outras plataformas virtuais, e aguarda até que a vítima “morda” a isca, ou seja, que a vítima abra o arquivo que vem em anexo ao e-mail, ou que clique no link indicado na mensagem, ou ainda, que preencha seus dados acreditando tratar-se de uma informação e plataforma legítima. Os golpistas enviam milhões de mensagens dessas por dia, na intenção de encontrar usuários inexperientes que caiam no golpe. Assim, depois dessa etapa de envio de mensagens, e caso algumas das vítimas ajam conforme os golpistas esperam, vem a fase de coleta dos dados obtidos com o ataque, que poderão ser usados pelos golpistas para criar novas identidades, roubar dinheiro das vítimas, dentre outros crimes; em alguns casos, ainda, esses dados poderão ser vendidos pelo golpista a outras pessoas, com o mesmo intuito de possibilitar fraudes e crimes semelhantes5. Você se lembra da situação hipotética Solicitação de cliques indevidos em links maliciosos, em que você recebeu um e-mail com o título “ataques apoiados pelo governo podem tentar roubar sua senha”? Pois bem, trata-se de um típico caso de phishing. Perceba que você recebeu um e-mail tratando de um tema no mínimo estranho: ataques apoiados pelo governo que podem tentar roubar sua senha? Um tanto suspeito... Mas pode ser que se trate de uma matéria com um conteúdo inusitado, ou realmente de um fato bombástico que veio a público. Acontece que, ao abrir o e-mail, você depara com informações ainda mais estranhas, apresentando fatos conspiratórios sem qualquer justificativa ou fundamentação válida. Como se não bastasse, a mensagem ainda pede a você para clicar num link fornecido e alterar a sua senha! 5 CANALTECH. O que é phishing?. [s. d.]. Disponível em: https://canaltech.com.br/seguranca/O-que-e-Phishing/. Acesso em: 2 jun. 2019. 14 Figura 1 – Printscreen do teste de phishing da Google Fonte: GOOGLE (s. d.).6 Essa situação hipotética que apresentamos faz parte de um teste da Google sobre phishing, que você pode, inclusive, realizar a partir do link que disponibilizamos em “Para saber mais”. No printscreen exibido, a mensagem está em total conformidade, quer dizer, não apresenta nenhuma anormalidade que salta aos olhos, a não ser o e-mail do remetente (que sublinhamos em vermelho). A Google não usa esse endereço “@google.support”. Ainda assim, esse é um detalhe muito pequeno, que tem muita chance de passar despercebido pela maioria das pessoas; por isso, recomendamos que você identifique os phishings a partir de características como as descritas a seguir. • Como identificá-lo? Sempre desconfie de mensagens estranhas ou suspeitas, principalmente que remetam a fatos dos quais você não se recorda. Geralmente as mensagens phishing tentam se passar por páginas de comércio eletrônico, bancos, redes sociais populares como Facebook e Instagram, companhias aéreas, e outras. Também é comum que essas mensagens forneçam links ou arquivos para serem baixados; ou solicitem a você que realize algum recadastramento ou preenchimento de formulário, entre outras estratégias, no intuito de levá-lo a compartilhar seus dados. 6 GOOGLE. Será que você percebe quando é alvo de phishing?. [s. d.]. Disponível em: https://phishingquiz.withgoogle.com/. Acesso em: 2 jun. 2019. 15 • Como se prevenir dele/combatê-lo? Fique atento a qualquer mensagem supostamente enviada por instituições importantes, como bancos ou mesmo o governo, e busque perceber se o e-mail do remetente parece factível. Questione-se se existe de fato um motivo para aquela instituição estar entrando em contato com você (por exemplo, se você não nunca teve contato com a Bolsa de Valores, por que esta instituição estaria entrando em contato com você?). Desconfie de mensagens que apelam demasiadamente para a sua atenção e que apresentem algum tipo de ameaça ou consequência drástica para o caso de você não seguir os passos que lhe são sugeridos. Também esteja atento aos links que lhe são fornecidos: às vezes, simplesmente pairando o mouse sobre o link, você percebe que ele é direcionado para uma página maliciosa. Além dessas, existem várias outras dicas de prevenção que você pode obter na seção 2.3 sobre phishing da Cartilha de segurança para internet, cujo link está disponível em “Fontes de consulta do curso”. 16 17 Vários dos perigos virtuais que vimos na unidade anterior são evitados quando adotamos algumas práticas seguras ao usar a internet, principalmente quando lidamos com dados pessoais, senhas e redes sociais. Serão esses os principais pontos abordados nesta unidade. Dados pessoais e senhas Na internet, estamos a todo momento produzindo, registrando e compartilhando os nossos dados pessoais, seja em sites de relacionamento, como o Facebook; seja em grupos de aplicativos, como o WhatsApp; seja, ainda, nos sites em que nos cadastramos para adquirir algum produto ou serviço. O mesmo vale para as senhas, que podem ser entendidas como parte de nossos dados pessoais, e são necessárias para desbloquear nossos celulares e computadores, e para acessar as redes sociais, as nossas contas em sites de compra e as nossas contas bancárias. Além das senhas, na maioria desses espaços virtuais, deixamos informações como o nosso nome, idade, endereço, profissão, hábitos, preferências diversas e opiniões, dentre tantas outras. Assim, mesmo que seja difícil ter total controle dos dados que fornecemos na internet, entender alguns aspectos desse tema nos ajuda a sermos cautelosos e a fazermos perguntas importantíssimas, como “O quê?”, “Para quê/quem?” e “Como?”, antes de sairmos distribuindo nossas informações pessoais. Inicialmente, precisamos saber que há duas formas de nossos dados pessoais ficarem gravados na internet: uma delas é voluntária; a outra, involuntária. No primeiro caso, estão as situações nas quais publicamos diretamente informações sobre nós, seja quando comentamos algum vídeo, foto, página de notícia, seja quando precisamos cadastrar as nossas preferências em sites, por exemplo. UNIDADE II – PRÁTICAS SEGURAS 18 Já no segundo caso, os dados involuntários correspondem ao conjunto de dados e metadados que são gerados e armazenados quando acessamos esses sites e demais ambientes digitais. Meio difícil de entender, não é? Vamos esmiuçar o que isso significa para uma melhor compreensão. Metadados são informações acrescidas aos dados cujo objetivo é nos informar sobre eles, de modo a facilitar a sua organização. Ainda está meio confuso, não é? Vamos a um exemplo: ao tirar uma foto, esta fica gravada na memória do celular, assim como os metadados associados a ela. Eles servem para registrar informações sobreo modelo da câmera, sobre a data em que a foto foi tirada, o tamanho, o formato do arquivo, dentre outras informações. Outros exemplos de metadados são os números de telefone, os endereços de e-mail, os dados de localização (onde está o seu celular nesse exato momento), a data e a hora em que foram feitas as ligações etc. É impossível ter o controle total dos dados pessoais, e principalmente dos metadados que produzimos e/ou compartilhamos na internet. Ainda assim, ter certa noção sobre eles nos ajuda a entender como certos comportamentos podem diminuir as chances de eles serem usados de modo indevido. Por exemplo: você se lembra dos spywares que mencionamos anteriormente? Então, eles podem ser usados para coletar tanto os seus dados pessoais, como senhas e números de cartão de crédito, quanto os seus metadados, como lugares onde você esteve, pessoas para quem você ligou e outras informações sobre o seu comportamento na internet e fora dela. Sendo assim, além das dicas de prevenção que elencamos na unidade anterior sobre cada um dos golpes que existem na internet, acrescentamos as seguintes: • Procure, sempre que possível, limpar os seus dados de navegação. Sabe quando são preenchidos automaticamente os nomes, e-mails, campos de login e senha, dentre outros dados que utilizamos com frequência na internet? Então, isso acontece porque os nossos dados ficam registrados em nossos navegadores. Isso, por um lado, pode ser prático no dia a dia, já que não precisamos toda hora digitar essas informações; no entanto, manter esses dados registrados pode ser arriscado, porque nunca sabemos o que poderá ser feito com eles. Por exemplo, eles podem ser vendidos para empresas de marketing, que os utilizam para fazer anúncios direcionados a cada usuário. Por isso, é recomendado que, de tempos em tempos, você limpe esses dados de seu navegador – o que é bastante simples de fazer –, e você pode aprender o passo a passo no texto “Veja os principais dados de navegação armazenados e saiba como limpá- los”, apresentado no “Para saber mais” do curso. • Crie senhas seguras. De modo geral, uma senha segura costuma ser: • longa: preferencialmente uma frase com letras, números e símbolos; • complexa: que remeta a algo que tenha sentido apenas para você, ou seja, que não seja óbvio; • impessoal: que não tenha data de aniversário, nomes ou outras informações muito pessoais; • atualizada de tempos em tempos: a cada três ou seis meses; 19 • autenticada em “dois níveis”, sempre que possível: são, por exemplo, aquelas funcionalidades em que você recebe uma mensagem no celular para entrar nas contas, mesmo já usando a sua senha. Fonte: Adaptado de SAFERNET BRASIL (s. d.).7 Redes sociais e privacidade Dentre todas as plataformas que usamos na internet, as redes sociais são as mais carregadas de dados pessoais nossos, tanto aqueles que fornecemos voluntariamente, quanto aqueles involuntários (metadados), e também aqueles que chegam até lá por descuido ou falta de atenção. Sendo assim, é importante ter em mente alguns cuidados básicos que nos ajudam a diminuir a quantidade de dados sobre nós que circulam na internet: • Esteja ciente sobre as políticas de segurança/dados dos serviços que você utiliza: Sabe aquelas letras miúdas que aparecem quando baixamos um aplicativo novo no celular ou quando criamos uma conta nova em um e-mail ou em uma certa rede social? Nelas, geralmente, estão escritas as políticas de segurança/dados e privacidade da plataforma. Ainda que, na prática, saibamos que quase ninguém lê essas informações, é interessante pelo menos ter uma ideia do conteúdo delas, o que pode ser encontrado em algum artigo que as apresente de forma resumida, por exemplo. • Utilize as ferramentas de privacidade As principais redes sociais dispõem de funcionalidades que permitem a você controlar quem pode ver as suas publicações ou quem pode entrar em contato com você, por exemplo. Busque utilizá-las e seja criterioso quanto à exposição dos seus dados e informações pessoais, sobretudo no que se refere a números de telefone e e-mails. • Gerencie suas amizades Saiba quem são as pessoas que você adiciona ou estabelece conexão nas redes sociais. Elas terão acesso privilegiado às informações e dados pessoais que estão no seu perfil. Além disso, perfis “aleatórios” que buscam adicionar usuários no Facebook frequentemente são falsos (fakes). 7 SAFERNET BRASIL. Regras básicas para criar uma senha segura. [s. d.]. Disponível em: https://new.safernet.org.br/content/regras- b%C3%A1sicas-para-criar-uma-senha-segura. Acesso em: 3 jun. 2019. 20 Criptografia A palavra criptografia vem do grego criptos, que significa “escondido, oculto”, e grafia, que significa “escrever, gravar”. “Criptografia” é, portanto, a arte de escrever em códigos ou cifras, usando um conjunto de técnicas que tornam a mensagem incompreensível, a não ser para o destinatário. Este sim pode decodificar e ler a mensagem com exatidão, ou seja, decifrá-la. É uma forma de trocar mensagens secretas entre pessoas e grupos. Se alguém tentar bisbilhotar sem ter a chave certa, não vai conseguir ler a mensagem. Figura 2 – Ilustração representando criptografia: as palavras, ao passarem pela chave de segurança, transformam-se em códigos (números) Fonte: Adaptado de SHUTTERSTOCK. No contexto digital, existem duas circunstâncias nas quais a criptografia pode ser estratégica: quando os dados estão em trânsito e quando estão “em repouso”. A primeira diz respeito às situações em que você envia informações pela internet, por um e-mail ou por um chat nas redes sociais, por exemplo, ou quando precisa armazená-las em outro local que não seja o seu próprio dispositivo. Por sua vez, os dados estão “em repouso” quando estão armazenados em seu dispositivo – que pode ser um celular –, o disco rígido do computador ou um cartão de memória ou unidade USB. 21 Figura 3 – Printscreen do site Google Quando os dados estão em trânsito, uma forma bastante comum é a criptografia do tráfego de rede. Várias páginas da web, principalmente sites financeiros, redes sociais e e-mails a utilizam por padrão. Não é necessário realizar nenhum procedimento para usá-la. Sempre que aparecer o ícone de um cadeado ao lado da URL, (endereço do site, ex.: “www.google.com”, como na imagem) e o endereço do site for precedido por “https” (em vez de só “http”. O “s” significa “seguro”), significa que os seus dados estão sendo criptografados, ou seja, que há uma maior segurança na transmissão de dados entre o computador e o site8. Figura 4 – Printscreen de opção de criptografia do Windows 8 MYERS, Lysa. Tudo sobre criptografia: o que é e quando devemos usar?. Welivesecurity, 31 ago. 2017. Disponível em: https://www.welivesecurity.com/br/2017/08/31/tudo-sobre-criptografia-quando-usar/. Acesso em: 02 junho 2019. 22 Já em relação aos dados em “repouso”, temos os principais sistemas operacionais, como Windows, assim como alguns softwares populares, que oferecem a possibilidade de criptografar arquivos e pastas no computador. Ao usar essa opção, é necessário escolher uma senha que permita ao usuário desbloquear e descriptografar esses arquivos. Em “Para saber mais”, há um texto que mostra como usar essa função no Windows. Além disso, existem alguns aplicativos de chat/bate-papo que dispõem de criptografia end to end, ou criptografia ponta a ponta. Basicamente, esse é um sistema no qual a mensagem do dispositivo que a envia só é decodificada ao chegar no dispositivo destinatário. Dito de modo ilustrativo, é como se o remetente colocasse um cadeado na mensagem que só é destravado pela chave única da pessoa que a recebe. Atualmente, mesmo algumasdas plataformas mais populares utilizam essa tecnologia, que protege o conteúdo da mensagem do usuário inclusive das empresas donas dessas plataformas9. Também existem algumas ferramentas que permitem usar a criptografia no compartilhamento de fotos e na elaboração de documentos escritos e mensagens de e-mail, por exemplo. Você pode encontrar alguns desses programas no texto “5 ferramentas de criptografia fáceis de usar”, no “Para saber mais” do curso. 9 FOLHA DE S. PAULO. Entenda como funciona o novo sistema de criptografia do WhatsApp. 2019. Disponível em: https://www1.folha.uol.com.br/tec/2016/04/1757710-entenda-como-funciona-o-novo-sistema-de-criptografia-do-whatsapp.shtml. Acesso em: 12 jun. 2019. 23 Vimos alguns dos perigos que existem no mundo virtual, como vírus, spywares e phishings. Também vimos alguns comportamentos que nos ajudam a diminuir esses riscos ao navegar na internet, incluindo algumas noções e dicas básicas sobre criptografia. E quanto aos casos em que o dano já ocorreu, como devemos agir? Vamos, a seguir, apresentar algumas ferramentas úteis aos casos de emergências, incluindo leis que visam proteger o usuário da internet e que estão em vigor no país. Você se lembra da situação hipotética Invasão de conta particular em rede social que apresentamos na introdução do curso? Nesse caso, o primeiro passo que deve ser tomado é denunciar o ocorrido à plataforma a que pertence a conta invadida. Sobretudo as redes sociais e as contas de e-mail mais populares possuem ferramentas que certamente irão ajudá-lo a recuperar a conta. Por isso, é importante manter atualizados endereços de e-mail, e-mails alternativos e números de celulares, porque é a partir deles que a plataforma vai entrar em contato com você. Em último caso, se nem e-mail nem telefones celulares estiverem atualizados, é possível que você recupere a sua conta por intermédio da conta de um amigo. Você pode se informar mais detalhadamente sobre esses procedimentos no ambiente virtual de aprendizagem em que colocamos alguns guias de recuperação de conta das principais redes sociais. Ainda assim, caso a invasão resulte em danos graves ao usuário, pode haver a necessidade de formalizar uma denúncia, que pode ser feita em alguma delegacia de crimes cibernéticos que existem em vários estados do país10. Nesses casos, também é importante procurar um advogado que irá orientar o usuário acerca do crime ocorrido. 10 Consultar em: Delegacias cibercrime. Disponível em: https://new.safernet.org.br/content/delegacias-cibercrimes. Acesso em: 3 jun. 2019. UNIDADE III – EM CASO DE EMERGÊNCIA... 24 Atualmente, os crimes de invasão de contas/dispositivos previstos pela Lei de Crimes Cibernéticos11 são os seguintes: • Invadir dispositivo digital alheio, conectado ou não à internet, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações, ou instalar vulnerabilidades para obter vantagem ilícitas (malwares) – detenção de três meses a um ano e multa. • Depois de obter o conteúdo sem autorização (senhas, endereços de e-mail, fotos, etc.), e o criminoso vender ou transmitir os dados/informações a qualquer pessoa – aumenta-se a pena de um a dois terços12. 11 Lei 12.737, de 30 de novembro de 2012. 12 JUSTIFICANDO. Crimes digitais: quais são, quais leis os definem e como denunciar. 2018. Disponível em: http://www.justificando.com/2018/06/25/crimes-digitais-quais-sao-quais-leis-os-definem-e-como-denunciar/. Acesso em: 3 jun. 2019. 25 • Malwares são softwares maliciosos que se instalam no computador sem a permissão do usuário e realizam operações danosas. • Vírus são programas desenvolvidos para modificarem nocivamente outros softwares instalados no computador. Conforme o próprio nome sugere, eles agem de modo semelhante a um vírus biológico: atacam um arquivo/programa do computador e ficam escondidos; a partir do momento que esse arquivo/programa é executado, eles se espalham para outros locais do computador. • Spyware são um tipo de malware que, uma vez instalado em um computador, começa a enviar informações sobre ele a um fraudador, as quais podem ser dados pessoais e confidenciais, como logins, senhas, números de contas e outros dados bancários. • Spams são os e-mails não solicitados, com informações e/ou ofertas aleatórias ou irrelevantes para o usuário; eles estão relacionados a ataques à segurança do usuário, sendo um dos responsáveis, por exemplo, pela disseminação de malwares, golpes diversos e venda ilegal de produtos. • Phishing é uma estratégia fraudulenta caracterizada por tentativas de obter ilicitamente dados pessoais de alguém, como e-mails, senhas, dados financeiros e bancários, números de cartão de crédito, entre outros dados. No golpe, o fraudador usa e-mails e páginas da web que se passam por contas e plataformas “oficiais” de instituições conhecidas, como bancos ou o governo, mas que, na verdade, foram feitas especificamente para roubar os dados pessoais das vítimas. • Dentre as práticas seguras relacionadas aos dados pessoais e senhas, ressaltamos a limpeza dos dados de navegação e a criação de senhas seguras. • Dentre as práticas seguras relacionadas à privacidade de redes sociais, ressaltamos a conscientização sobre as políticas de dados dessas redes, a utilização de ferramentas de privacidade e o gerenciamento de conexões/amizades. 26 CERT.BR. Cartilha de segurança para internet. 2. ed. São Paulo: Comitê Gestor da Internet no Brasil, 2012. Disponível em: https://cartilha.cert.br/seguranca/. Acesso em: 1 jun. 2019. MATSU, C. Como conversar com o seu filho sobre cibersegurança?. NIC.BR. 2019. Disponível em: https://www.nic.br/noticia/na-midia/como-conversar-com-o-seu-filho-sobre-ciberseguranca/. Acesso em: 2 maio 2019. SAFERNET BRASIL. Dados pessoais. [s. d.]. Disponível em: https://new.safernet.org.br/ content/dados-pessoais. Acesso em: 2 maio. 2019. 27 Pop-up – janela que abre no navegador ao se visitar determinado site. Frequentemente esse tipo de janela veicula conteúdo publicitário. 28
Compartilhar