1

Centro Universitrio Fundao Santo Andr Matemtica Bacharelado Administrao de CPD - Auditoria Prof. Tiago Novembro de 2003

Segurana para a Internet

Turma: 4 B Amarildo de Souza Nogueira Baruc S. Baptista Ronie Kazuo Nishikawa Wadeny Roberto Moyss 24921 24997 24836 14124

SEGURANA PARA INTERNET PARTE I: CONCEITOS DE SEGURANA

RESUMO

Esta parte do trabalho apresenta conceitos de segurana de computadores, onde so abordados temas relacionados s senhas, certificados digitais, engenharia social, vrus e worm, vulnerabilidade, backdoor, cavalo de tria e ataques de negao de servio. Os conceitos aqui apresentados so importantes para o entendimento de partes subseqentes deste trabalho.

SUMRIO

1 - Segurana de Computadores .......................................................................................... 6 1.1 - Por que devo me preocupar com a segurana do meu computador? ............... 6 1.2 - Por que algum iria querer invadir meu computador? .......................................... 7

2 - Senhas ................................................................................................................................ 8 2.1 - O que no se deve usar na elaborao de uma senha? ...................................... 8 2.2 - O que uma boa senha? ........................................................................................... 9 2.3 - Como elaborar uma boa senha? .............................................................................. 9 2.4 - Quantas senhas diferentes devo usar? ................................................................... 9 2.5 - Com que freqncia devo mudar minhas senhas? ............................................... 10 2.6 - Quais os cuidados especiais que devo ter com as senhas? ............................... 10

3 - Certificado Digital .............................................................................................................. 12 3.1 - O que Autoridade Certificadora (AC)? .................................................................. 12 3.2 - Que exemplos podem ser citados sobre o uso de certificados? ......................... 12

4 - Cookies ............................................................................................................................... 14

5 - Engenharia Social ............................................................................................................. 15 5.1 - Que exemplos podem ser citados sobre este mtodo de ataque? ..................... 15

6 - Vulnerabilidade .................................................................................................................. 17

7 - Vrus .................................................................................................................................... 18 7.1 - Como um vrus pode afetar um computador? ........................................................ 18 7.2 - Como o computador infectado por um vrus? ..................................................... 18 7.3 - Um computador pode ser infectado por um vrus sem que se perceba? .......... 19 7.4 - O que um vrus propagado por e-mail? ................................................................ 19 7.5 - O que um vrus de macro? ..................................................................................... 19

8 Worm...................................................................................................................................... 21 8.1 Como um worm pode afetar um computador? .......................................................... 21

9 Backdoors ............................................................................................................................. 22 9.1 Como feita a incluso de um backdoor em um computador? ............................. 22 9.2 A existncia de um backdoor depende necessariamente de uma invaso? ....... 22 9.3 O uso de backdoor restrito a um sistema operacional especfico? ................... 23

10 Cavalo de Tria .................................................................................................................. 24 10.1 Como um cavalo de tria pode ser diferenciado de um vrus ou worm? ........... 24 10.2 Como um cavalo de tria se instala em um computador? .................................... 24 10.3 Que exemplos podem ser citados sobre programas contendo cavalos de tria? ... 25

11 Negao de Servio (Denial of Service) ........................................................................ 26 11.1 O que DDoS? ............................................................................................................ 26 11.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invaso? .. 26

1 - Segurana de Computadores
Um computador (ou sistema computacional) dito seguro se este atende a trs requisitos bsicos relacionados aos recursos que o compem: confidencialidade, integridade e disponibilidade. A confidencialidade diz que a informao s est disponvel para aqueles devidamente autorizados; a integridade diz que a informao no destrua ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os servios/recursos do sistema esto disponveis sempre que forem necessrios. Alguns exemplos de violaes a cada um desses requisitos so:

Confidencialidade: algum obtm acesso no autorizado ao seu computador e tem acesso a todas as informaes contidas na sua Declarao de Imposto de Renda;

Integridade: algum obtm acesso no autorizado ao seu computador e altera informaes da sua Declarao de Imposto de Renda, momentos antes de voc envi-la Receita Federal;

Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negao de servio e por este motivo voc fica impossibilitado de enviar sua Declarao de Imposto de Renda Receita Federal.

1.1 - Por que devo me preocupar com a segurana do meu computador?

Computadores domsticos so utilizados para realizar inmeras tarefas, tais como: transaes financeiras, sejam elas bancrias ou mesmo compra de produtos e servios; comunicao, por exemplo, atravs de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. importante que voc se preocupe com a segurana de seu computador, pois voc, provavelmente, no gostaria que:

suas senhas e nmeros de cartes de crdito fossem furtados; sua conta de acesso Internet fosse utilizada por algum no autorizado;

seus dados pessoais, ou at mesmo comerciais, fossem alterados, destrudos ou visualizados por estranhos, etc.

1.2 - Por que algum iria querer invadir meu computador?

A resposta para esta pergunta no simples. Os motivos pelos quais algum tentaria invadir seu computador so inmeros. Alguns destes motivos podem ser:

utilizar seu computador em alguma atividade ilcita, para esconder sua real identi-

dade e localizao;

utilizar seu computador para lanar ataques contra outros computadores; utilizar seu disco rgido como repositrio de dados; meramente destruir informaes (vandalismo); disseminar mensagens alarmantes e falsas; ler e enviar e-mails em seu nome; propagar vrus de computador; furtar nmeros de cartes de crdito e senhas bancrias; furtar a senha da conta de seu provedor, para acessar a Internet se fazendo pas-

sar por voc;

furtar dados do seu computador, como por exemplo informaes do seu Imposto

de Renda.

2 - Senhas
Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usurio, ou seja, utilizada no processo de verificao da identidade do usurio, assegurando que este realmente quem diz ser. Se voc fornece sua senha para uma outra pessoa, esta poder utiliz-la para se passar por voc na Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha so:

ler e enviar e-mails em seu nome; obter informaes sensveis dos dados armazenados em seu computador, tais como

nmeros de cartes de crdito;

esconder sua real identidade e ento desferir ataques contra computadores de

terceiros.

Portanto, a senha merece considerao especial, afinal ela de sua inteira responsabilidade.

2.1 - O que no se deve usar na elaborao de uma senha?

O seu sobrenome, nmeros de documentos, placas de carros, nmeros de telefones e datas devero estar fora de sua lista de senhas. Esses dados so muito fceis de se obter e qualquer pessoa tentaria utilizar este tipo de informao para tentar se autenticar como voc. Existem vrias regras de criao de senhas, sendo que uma regra muito importante jamais utilizar palavras que faam parte de dicionrios. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicionrios) e listas de nomes (nomes prprios, msicas, filmes, etc.). Evite qualquer data que possa estar relacionada com voc, como por exemplo a data de seu aniversrio ou de familiares.

2.2 - O que uma boa senha?

Uma boa senha deve ter pelo menos oito caracteres (letras, nmeros e smbolos), deve ser simples de digitar e, o mais importante, deve ser fcil de lembrar. Normalmente os sistemas diferenciam letras maisculas das minsculas, o que j ajuda na composio da senha. Por exemplo, pAraleLepiPedo e paRalElePipEdo so senhas diferentes. Entretanto, so senhas fceis de descobrir utilizando softwares para quebra de senhas, pois no possuem nmeros e smbolos e contm muitas repeties de letras.

2.3 - Como elaborar uma boa senha?

Quanto mais bagunada for a senha melhor, pois mais difcil ser descobr-la. Assim, tente misturar letras maisculas, minsculas, nmeros e sinais de pontuao. Uma regra realmente prtica e que gera boas senhas difceis de serem descobertas utilizar uma frase qualquer e pegar a primeira, segunda ou a ltima letra de cada palavra. Por exemplo, usando a frase batatinha quando nasce se esparrama pelo cho podemos gerar a senha !BqnsepC (o sinal de exclamao foi colocado no incio para acrescentar um smbolo senha). Senhas geradas desta maneira so fceis de lembrar e so normalmente difceis de serem descobertas. Mas lembre-se: a senha !BqnsepC deixou de ser uma boa senha, pois faz parte deste trabalho.

2.4 - Quantas senhas diferentes devo usar?

Procure identificar o nmero de locais onde voc necessita utilizar uma senha. Este nmero deve ser equivalente a quantidade de senhas distintas a serem mantidas por voc. Utilizar senhas diferentes, uma para cada local, extremamente importante, pois pode atenuar os prejuzos causados, caso algum descubra uma de suas senhas. Para ressaltar a importncia do uso de senhas diferentes, imagine que voc respon-

10

svel por realizar movimentaes financeiras em um conjunto de contas bancrias e todas estas contas possuem a mesma senha. Ento, procure responder as seguintes perguntas:

Quais seriam as conseqncias se algum descobrisse esta senha? E se elas fossem diferentes, uma para cada conta, caso algum descobrisse uma

das senhas, um possvel prejuzo teria a mesma proporo?

Existem servios que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais difcil ser descobr-la, portanto procure utilizar a maior senha possvel.

2.5 - Com que freqncia devo mudar minhas senhas?

Voc deve trocar suas senhas regularmente, procurando evitar perodos muito longos. Uma sugesto que voc realize tais trocas a cada dois ou trs meses. Procure identificar se os servios que voc utiliza e que necessitam de senha, quer seja o acesso ao seu provedor, e-mail, conta bancria, ou outro, disponibilizam funcionalidades para alterar senhas e use regularmente tais funcionalidades. Caso voc no possa escolher sua senha na hora em que contratar o servio, procure troc-la com a maior urgncia possvel. Procure utilizar servios em que voc possa escolher a sua senha. Lembre-se que trocas regulares so muito importantes para assegurar a integridade de suas senhas.

2.6 - Quais os cuidados especiais que devo ter com as senhas?

De nada adianta elaborar uma senha bastante segura e difcil de ser descoberta, se ao usar a senha algum puder v-la. Existem vrias maneiras de algum poder descobrir a sua senha. Dentre elas, algum poderia:

observar o processo de digitao da sua senha;

11

utilizar algum mtodo de persuaso, para tentar convenc-lo a entregar sua senha

(vide seo 5.1);

capturar sua senha enquanto ela trafga pela rede.

Em relao a este ltimo caso, existem tcnicas que permitem observar dados, medida que estes trafegam entre redes. possvel que algum extraia informao sensveis desses dados, como por exemplo senhas, caso no estejam criptografados. Portanto, alguns dos principais cuidados que voc deve ter com suas senhas so:

certifique-se de no estar sendo observado ao digitar a sua senha; no fornea sua senha para qualquer pessoa, em hiptese alguma; certifique-se que seu provedor disponibiliza servios criptografados, principalmen-

te para aqueles que envolvam o fornecimento de uma senha.

12

3 - Certificado Digital
O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Exemplos semelhantes a um certificado so o RG, CPF e carteira de habilitao de uma pessoa. Cada um deles contm um conjunto de informaes que identificam a pessoa e alguma autoridade (para estes exemplos, rgos pblicos) garantindo sua validade. Algumas das principais informaes encontradas em um certificado digital so:

dados que identificam o dono (nome, nmero de identificao, estado, etc); nome da Autoridade Certificadora (AC) que emitiu o certificado (vide seo 3.1); o nmero de srie do certificado; o perodo de validade do certificado; a assinatura digital da AC.

O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informaes nele contidas.

3.1 - O que Autoridade Certificadora (AC)?

Autoridade Certificadora (AC) a entidade responsvel por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituio, etc. Os certificados digitais possuem uma forma de assinatura eletrnica da AC que o emitiu. Graas sua idoneidade, a AC normalmente reconhecida por todos como confavel, fazendo o papel de Cartrio Eletrnico.

3.2 - Que exemplos podem ser citados sobre o uso de certificados?

13

Alguns exemplos tpicos do uso de certificados digitais so:

quando voc acessa um site com conexo segura, como por exemplo o acesso

sua conta bancria pela Internet, possvel checar se o site apresentado realmente da instituio que diz ser, atravs da verificao de seu certificado digital;

quando voc consulta seu banco pela Internet, este tem que assegurar-se de sua

identidade antes de fornecer informaes sobre a conta;

quando voc envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu

certificado para assinar digitalmente a mensagem, de modo a assegurar ao destinatrio que o e-mail seu e que no foi adulterado entre o envio e o recebimento.

14

4 - Cookies
Cookies so pequenas informaes que os sites visitados por voc podem armazenar em seu browser. Estes so utilizados pelos sites de diversas formas, tais como:

guardar a sua identificao e senha quando voc vai de uma pgina para outra; manter listas de compras ou listas de produtos preferidos em sites de comrcio

eletrnico;

personalizar sites pessoais ou de notcias, quando voc escolhe o que quer que

seja mostrado nas pginas;

manter a lista das pginas vistas em um site, para estatstica ou para retirar as

pginas que voc no tem interesse dos links.

A parte III deste trabalho (Privacidade) apresenta alguns problemas relacionados aos cookies, bem como algumas sugestes para que se tenha maior controle sobre eles.

15

5 - Engenharia Social
O termo utilizado para descrever um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes.

5.1 Que exemplos podem ser citados sobre este mtodo de ataque?
O primeiro exemplo apresenta um ataque realizado por telefone. Os outros dois exemplos apresentam casos onde foram utilizadas mensagens de e-mail.

Exemplo 1: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a Internet est apresentando algum problema e, ento, pede sua senha para corrig-lo. Caso voc entregue sua senha, este suposto tcnico poder realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso Internet e, portanto, relacionando tais atividades ao seu nome.

Exemplo 2: voc recebe uma mensagem de e-mail, dizendo que seu computador est infectado por um vrus. A mensagem sugere que voc instale uma ferramenta disponvel em um site da Internet, para eliminar o vrus de seu computador. A real funo desta ferramenta no eliminar um vrus, mas sim permitir que algum tenha acesso ao seu computador e a todos os dados nele armazenados.

Exemplo 3: voc recebe uma mensagem e-mail, onde o remetente o gerente ou o departamento de suporte do seu banco. Na mensagem ele diz que o servio de Internet Banking est apresentando algum problema e que tal problema pode ser corrigido se voc executar o aplicativo que est anexado mensagem. A execuo deste aplicativo apresenta uma tela anloga quela que voc utiliza para ter acesso a conta bancria, aguardando que voc digite sua senha. Na verdade, este aplicativo est preparado para furtar sua senha de acesso conta bancria e envi-la para o atacante. Estes casos mostram ataques tpicos de engenharia social, pois os discursos apresen-

16

tados nos exemplos procuram induzir o usurio a realizar alguma tarefa e o sucesso do ataque depende nica e exclusivamente da deciso do usurio em fornecer informaes sensveis ou executar programas.

17

6 - Vulnerabilidade
Vulnerabilidade definida como uma falha no projeto ou implementao de um software ou sistema operacional, que quando explorada por um atacante resulta na violao da segurana de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel. A parte II deste trabalho (Riscos Envolvidos no Uso da Internet e Mtodos de Preveno) apresenta algumas formas de identificao de vulnerabilidades, bem como maneiras de preveno e correo.

18

7 - Vrus
Vrus um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infeco, o vrus embute uma cpia de si mesmo em um programa ou arquivo, que quando executado tambm executa o vrus, dando continuidade ao processo de infeco.

7.1 - Como um vrus pode afetar um computador?

Normalmente o vrus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de feliz aniversrio, at alterar ou destruir programas e arquivos do disco.

7.2 - Como o computador infectado por um vrus?

Para que um computador seja infectado por um vrus, preciso que de alguma maneira um programa previamente infectado seja executado. Isto pode ocorrer de diversas maneiras, tais como:

abrir arquivos anexados aos e-mails; abrir arquivos do Word, Excel, etc; abrir arquivos armazenados em outros computadores, atravs do compartilhamento

de recursos;

instalar programas de procedncia duvidosa ou desconhecida, obtidos pela Inter-

net, de disquetes, ou de CD-ROM;

esquecer um disquete no drive A: quando o computador ligado;

Novas formas de infeco por vrus podem surgir. Portanto, importante manter-se informado atravs de jornais, revistas e dos sites dos fabricantes de antivrus.

19

7.3 - Um computador pode ser infectado por um vrus sem que se perceba?
Sim. Existem vrus que procuram permanecer ocultos, infectando arquivos do disco e executando uma srie de atividades sem o conhecimento do usurio. Ainda existem outros tipos que permanecem inativos durante certos perodos, entrando em atividade em datas especficas.

7.4 - O que um vrus propagado por e-mail?

Um vrus propagado por e-mail (e-mail borne vrus) normalmente recebido como um arquivo anexado uma mensagem de correio eletrnico. O contedo dessa mensagem procura induzir o usurio a clicar sobre o arquivo anexado, fazendo com que o vrus seja executado. Quando este tipo de vrus entra em ao, alm de infectar arquivos e programas, envia cpias de si mesmo para todos os contatos encontrados nas listas de endereos de e-mail armazenadas no computador. importante ressaltar que este tipo especfico de vrus no capaz de se propagar automaticamente. O usurio precisa executar o arquivo anexado que contm o vrus, ou o programa de email precisa estar configurado para auto-executar arquivos anexados.

7.5 - O que um vrus de macro?

Uma macro um conjunto de comandos que so armazenados em alguns aplicativos, e utilizados para automatizar algumas tarefas repetitivas. Um exemplo seria, em um editor de textos, definir uma macro que contenha a seqncia de passos necessrios para imprimir um documento com a orientao de retrato e utilizando a escala de cores em tons de cinza. Um vrus de macro escrito de forma a explorar esta facilidade de automatizao e parte de um arquivo que normalmente manipulado por algum aplicativo que utiliza macros. Para que o vrus possa ser executado, o arquivo que o contm precisa ser

20

aberto e, a partir dai, o vrus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados pelo Microsoft Word, Excel, Powerpoint e Access so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PS so menos suscetveis, mas isso no significa que no possam conter vrus.

21

8 - Worm
Worm um programa capaz de se propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores.

8.1 - Como um worm pode afetar um computador?

Geralmente o worm no tem como conseqncia os mesmos danos gerados por um vrus, como por exemplo a infeco de programas e arquivos ou a destruio de informaes. Isto no que dizer que no represente uma ameaa segurana de um computador, ou que no cause qualquer tipo de dano. Worms so notadamente responsveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rgido de computadores, devido grande quantidade de cpias de si mesmo que costumam propagar. Alm disso, podem gerar grandes transtornos para aqueles que esto recebendo tais cpias.

22

9 - Backdoors
Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos mtodos utilizados na realizao da invaso. Na maioria dos casos, a inteno do atacante poder retornar ao computador comprometido sem ser notado. A esses programas de retorno a um computador comprometido, utilizando-se servios criados ou modificados para este fim, d-se o nome de Backdoor.

9.1 - Como feita a incluso de um backdoor em um computador?

A forma usual de incluso de um backdoor consiste na adio de um novo servio ou substituio de um determinado servio por uma verso alterada, normalmente incluindo recursos que permitam acesso remoto (atravs da Internet). Uma outra forma se d atravs de pacotes de software, tais como o BackOrifice e NetBus, da plataforma Windows, conhecidos por disponibilizarem backdoors nos computadores onde so instalados.

9.2 - A existncia de um backdoor depende necessariamente de uma invaso?

No. Alguns dos casos onde a existncia de um backdoor no est associada a uma invaso so:

instalao atravs de um cavalo de tria ; incluso como conseqncia da instalao e m configurao de um programa de

administrao remota;

Alguns fabricantes incluem/incluam backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas. importante ressaltar que estes casos constituem uma sria ameaa segurana de um computador que contenha

23

um destes produtos instalados, mesmo que backdoors sejam includos por fabricantes conhecidos.

9.3 - O uso de backdoor restrito a um sistema operacional especfico?

No. Backdoors podem ser includos em computadores executando diversos sistemas operacionais, tais como Windows (por exemplo, 95/98, 2000, NT, XP), Unix (por exemplo, Linux, Solaris, FreeBSD, OpenBSD, AIX) e Mac OS.

24

10 - Cavalo de Tria
Conta a mitologia grega que o Cavalo de Tria foi uma grande esttua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tria. A esttua do cavalo foi recheada com soldados que, durante a noite, abriram os portes da cidade possibilitando a entrada dos gregos e a dominao de Tria. Da surgiram os termos Presente de Grego e Cavalo de Tria. Na informtica, um Cavalo de Tria (Trojan Horse) um programa que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Algumas das funes maliciosas que podem ser executadas por um cavalo de tria so:

alterao ou destruio de arquivos; furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o

computador.

10.1 - Como um cavalo de tria pode ser diferenciado de um vrus ou worm?

Por definio, o cavalo de tria distingue-se de vrus e worm, por no se replicar, infectar outros arquivos, ou propagar cpias de si mesmo automaticamente. Normalmente um cavalo de tria consiste de um nico arquivo que necessita ser explicitamente executado. Podem existir casos onde um cavalo de tria contenha um vrus ou worm. Mas mesmo nestes casos possvel distinguir as aes realizadas como conseqncia da execuo do cavalo de tria propriamente dito, daquelas relacionadas ao comportamento de um vrus ou worm.

10.2 - Como um cavalo de tria se instala em um computador?

necessrio que o cavalo de tria seja executado para que ele se instale em um com-

25

putador. Geralmente um cavalo de tria vem anexado a um e-mail ou est disponvel em algum site na Internet. importante ressaltar que existem programas de e-mail, que podem estar configurados para executar automaticamente arquivos anexados s mensagens. Neste caso, o simples fato de ler uma mensagem suficiente para que qualquer arquivo (executvel) anexado seja executado.

10.3 - Que exemplos podem ser citados sobre programas contendo cavalos de tria?
Exemplos comuns de cavalos de tria so programas que voc recebe ou obtm de um site e que dizem ser jogos ou protetores de tela. Enquanto esto sendo executados, este programas alm de mostrar na tela uma mensagem como Em que nvel de dificuldade voc quer jogar?, ou apresentar todas aquelas animaes tpicas de um protetor de tela, podem ao mesmo tempo apagar arquivos ou formatar o disco rgido, enviar dados confidenciais para outro computador, instalar backdoors, ou alterar informaes.

26

11 - Negao de Servio (Denial of Service)

Nos ataques de negao de servio (DoS Denial of Service) o atacante utiliza um computador para tirar de operao um servio ou computador conectado Internet. Exemplos deste tipo de ataque so:

gerar uma grande sobrecarga no processamento de dados de um computador, de

modo que o usurio no consiga utiliz-lo;

gerar um grande trfego de dados para uma rede, ocupando toda a banda dispon-

vel, de modo que qualquer computador desta rede fique indisponvel;

tirar servios importantes de um provedor do ar, impossibilitando o acesso dos

usurios s suas caixas de correio no servidor de e-mail ou ao servidor Web.

11.1 - O que DDoS?

DDoS (Distributed Denial of Service) constitui um ataque de negao de servio distribudo, ou seja, um conjunto de computadores utilizado para tirar de operao um ou mais servios ou computadores conectados Internet. Normalmente estes ataques procuram ocupar toda a banda disponvel para o acesso a um computador ou rede, causando grande lentido ou at mesmo indisponibilizando qualquer comunicao com este computador ou rede.

11.2 - Se uma rede ou computador sofrer um DoS, isto significa que houve uma invaso?
No. O objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invad-los. importante notar que, principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os ataques de negao de servio. Um exemplo deste tipo de ataque ocorreu no incio de 2000, onde computadores de vrias partes do mundo foram utilizados para indisponibilizar o acesso aos sites de al-

27

gumas empresas de comrcio eletrnico. Estas empresas no tiveram seus computadores comprometidos, mas sim ficaram impossibilitadas de vender seus produtos durante um longo perodo.

28

SEGURANA PARA INTERNET PARTE II: RISCOS ENVOLVIDOS NO USO DA INTERNET E MTODOS DE PREVENO

RESUMO

Esta parte do trabalho aborda diversos riscos envolvidos no uso da Internet e seus mtodos de preveno. So discutidos os programas que possibilitam aumentar a segurana de um computador, como antivrus e firewalls, e apresentados riscos e medidas preventivas no uso de programas de e-mail, de troca de mensagens, de distribuio de arquivos, browsers e recursos de compartilhamento de arquivos. Tambm discutida a importncia da realizao de cpias de segurana.

29

SUMRIO

1 - Vrus .................................................................................................................................... 32 1.1 - Como posso saber se um computador est infectado? ....................................... 32 1.2 - Existe alguma maneira de proteger um computador de vrus? ........................... 32

2 - Cavalos de Tria ............................................................................................................... 33 2.1 - O que um cavalo de Tria pode fazer em um computador? ................................ 33 2.2 - Um cavalo de Tria pode instalar programas sem o conhecimento do usurio? .... 33 2.3 - possvel saber se um cavalo de Tria instalou algo em um computador? ........... 33 2.4 - Existe alguma maneira de proteger um computador dos cavalos de Tria? ..... 33

3 - Antivrus .............................................................................................................................. 35 3.1 - Que funcionalidades um bom Antivrus deve possuir? ......................................... 35 3.2 - Como fao bom uso do meu Antivrus? .................................................................. 35 3.3 - O que um Antivrus no pode fazer? ....................................................................... 36

4 Vulnerabilidades ................................................................................................................... 37 4.1 - Como posso saber se os softwares instalados em meu computador possuem alguma vulnerabilidade? .............................................................................................................. 37 4.2 - Como posso corrigir as vulnerabilidades dos softwares em meu computador?...... 38

5 - Worms ................................................................................................................................. 38 5.1 - Como posso saber se meu computador est sendo utilizado para propagar um worm? ..................................................................................................................................... 38 5.2 - Como posso proteger um computador de worms? ................................................ 38

6 - Backdoors ........................................................................................................................... 39 6.1 - Existe alguma maneira de proteger um computador de backdoors? ................. 39

7 - Firewalls .............................................................................................................................. 40 7.1 - Como o firewall pessoal funciona? ........................................................................... 40

30

7.2 - Por que devo instalar um firewall pessoal em meu computador? ....................... 40 7.3 - Como posso saber se esto tentando invadir meu computador? ....................... 41

8 - Programas de E-Mail ........................................................................................................ 42 8.1 - Quais so os riscos associados ao uso de um programa de e-mail? ................ 42 8.2 - possvel configurar um programa de e-mail de forma mais segura?.............. 42 8.3 - Que medidas preventivas devo adotar no uso dos programas de e-mail? ....... 42

9 - Browsers ............................................................................................................................. 44 9.1 - Quais so os riscos associados ao uso de um browser?..................................... 44 9.2 - Quais so os riscos associados execuo de Javascripts e de programas Java? ... 44 9.3 - Quais so os riscos associados execuo ao de programas ActiveX? .......... 44 9.4 - Quais so os riscos associados ao uso de cookies? ............................................ 45 9.5 - Quais so os cuidados necessrio para realizar transaes via Web? ............. 45 9.6 - Que medidas preventivas devo adotar no uso de browsers?.............................. 45

10 - Programas de Troca de Mensagens ............................................................................ 47 10.1 - Quais so os riscos associados ao uso de salas de bate-papo e de programas como o ICQ ou IRC? ............................................................................................................ 47 10.2 - Existem problemas de segurana especficos no uso de programas de troca instantnea de mensagens?.................................................................................................... 47 10.3 - Que medidas preventivas devo adotar no uso de programas de troca de mensagens? ...................................................................................................................................... 47

11 - Programas de Distribuio de Arquivos ...................................................................... 49 11.1 - Quais so os riscos associados ao uso de programas de distribuio de arquivos? ................................................................................................................... 49 11.2 - Que medidas preventivas devo adotar no uso de programas de distribuio de arquivos? ............................................................................................................................... 49

12 - Compartilhamento de Recursos do Windows ............................................................. 50 12.1 - Quais so os riscos associados ao uso do compartilhamento de recursos? . 50 12.2 - Que medidas preventivas devo adotar no uso do compartilhamento de recursos?... 50

31

13 - Realizao de Cpias de Segurana (Backups) ........................................................ 52 13.1 - Qual a importncia de fazer cpias de segurana?......................................... 52 13.2 - Quais so as formas de realizar cpias de segurana?..................................... 52 13.3 - Com que freqncia devo fazer cpias de segurana? ..................................... 52 13.4 - Que cuidados devo ter com as cpias de segurana? ....................................... 52

32

1 - Vrus 1.1 - Como posso saber se um computador est infectado?

A melhor maneira de descobrir se um computador est infectado atravs dos programas Antivrus (vide seo 3). importante ressaltar que o Antivrus deve ser sempre atualizado, caso contrrio poder no detectar os vrus mais recentes.

1.2 - Existe alguma maneira de proteger um computador de vrus?

Sim. Algumas das medidas de preveno contra a infeco por vrus so:

instalar e manter atualizado um bom programa antivrus; desabilitar no seu programa de e-mail a auto-execuo de arquivos anexados s

mensagens;

no executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pes-

soas conhecidas, mas caso seja inevitvel, certifique-se que o arquivo foi verificado pelo programa antivrus;

no abrir arquivos ou executar programas de procedncia duvidosa ou desconhe-

cida e mesmo que voc conhea a procedncia e queira abr-los ou execut-los, certifique-se que foram verificados pelo programa antivrus;

procurar utilizar, no caso de arquivos de dados, formatos menos suscetveis pro-

pagao de vrus, tais como RTF, PDF ou PS;

procurar no utilizar, no caso de arquivos comprimidos, o formato executvel. Uti-

lize o prprio formato compactado, como por exemplo ZIP ou GZ.

33

2 - Cavalos de Tria 2.1 - O que um cavalo de tria pode fazer em um computador?

O cavalo de tria, na maioria das vezes, ir instalar programas para possibilitar que um invasor tenha controle total sobre um computador. Estes programas podem permitir que o invasor:

veja e copie todos os arquivos armazenados no computador; descubra todas as senhas digitadas pelo usurio; formate o disco rgido do computador, etc.

2.2 - Um cavalo de tria pode instalar programas sem o conhecimento do usurio?

Sim. Normalmente o cavalo de tria procura instalar programas, para realizar uma srie de atividades maliciosas, sem que o usurio perceba.

2.3 - possvel saber se um cavalo de tria instalou algo em um computador?

A utilizao de um bom programa antivrus (desde que seja atualizado freqentemente) normalmente possibilita a deteco de programas instalados pelos cavalos de tria. importante lembrar que nem sempre o antivrus ser capaz de detectar ou remover os programas deixados por um cavalo de tria, principalmente se estes programas forem mais recentes que a sua verso de antivrus.

2.4 - Existe alguma maneira de proteger um computador dos cavalos de tria?

Sim. As principais medidas preventivas contra a instalao de cavalos de tria so se-

34

melhantes s medidas contra a infeco por vrus e esto listadas na seo 1.2. Uma outra medida preventiva utilizar um firewall pessoal. Alguns firewalls podem bloquear o recebimento de cavalos de tria (vide seo 7).

35

3 - Antivrus
Os antivrus so programas que procuram detectar e, ento, anular ou remover os vrus de computador. Atualmente, novas funcionalidades tm sido adicionadas aos programas antivrus, de modo que alguns procuram detectar e remover cavalos de tria , barrar programas hostis e verificar e-mails.

3.1 - Que funcionalidades um bom antivrus deve possuir?

Um bom antivrus deve:

identificar e eliminar a maior quantidade possvel de vrus; analisar os arquivos que esto sendo obtidos pela Internet; verificar continuamente os discos rgidos (HDs), flexveis (disquetes) e CDs de

forma transparente ao usurio;

procurar vrus e cavalos de tria em arquivos anexados aos e-mails; criar, sempre que possvel, um disquete de verificao (disquete de boot) que pos-

sa ser utilizado caso o vrus desative o antivrus que est instalado no computador;

atualizar a lista de vrus conhecidos, pela rede, de preferncia diariamente.

Alguns antivrus, alm das funcionalidades acima, permitem verificar e-mails enviados, podendo detectar e barrar a propagao por e-mail de vrus e worms.

3.2 - Como fao bom uso do meu antivrus?

As dicas para o bom uso do antivrus so simples:

mantenha-o sempre atualizado; configure-o para verificar automaticamente arquivos anexados aos e-mails e ar-

36

quivos obtidos pela Internet;

configure-o para verificar automaticamente mdias removveis (CDs, disquetes, dis-

cos para Zip, etc);

configure-o para verificar todo e qualquer formato de arquivo (qualquer tipo de

extenso de arquivo);

se for possvel, crie o disquete de verificao e utilize-o esporadicamente, ou quando

seu computador estiver apresentando um comportamento anormal (mais lento, gravando ou lendo o disco rgido fora de hora, etc.);

Algumas verses de antivrus so gratuitas para uso pessoal e podem ser obtidas pela Internet. Mas antes de obter um antivrus pela Internet, verifique sua procedncia e certifique-se que o fabricante confivel.

3.3 - O que um antivrus no pode fazer?

Um antivrus no capaz de impedir que um atacante tente explorar alguma vulnerabilidade (seo 4) existente em um computador. Tambm no capaz de evitar o acesso no autorizado a um backdoor (seo 6) instalado em um computador. Existem tambm outros mecanismos de defesa, conhecidos como firewalls, que podem prevenir contra tais ameaas (vide seo 7);

37

4 - Vulnerabilidades 4.1 - Como posso saber se os softwares instalados em meu computador possuem alguma vulnerabilidade?
Existem sites na Internet que mantm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais. Alguns destes sites so http://www.cert.org/ e http:// cve.mitre.org/. Alm disso, fabricantes tambm costumam manter pginas na Internet com consideraes a respeito de possveis vulnerabilidades em seus softwares. Portanto, a idia estar sempre atento aos sites especializados em acompanhar vulnerabilidades, aos sites dos fabricantes, s revistas especializadas e aos cadernos de informtica dos jornais, para verificar a existncia de vulnerabilidades no sistema operacional e nos softwares instalados em seu computador.

4.2 - Como posso corrigir as vulnerabilidades dos softwares em meu computador?

A melhor forma de evitar que o sistema operacional e os softwares instalados em um computador possuam vulnerabilidades mant-los sempre atualizados. Entretanto, fabricantes em muitos casos no disponibilizam novas verses de seus softwares quando descoberta alguma vulnerabilidade, mas sim correes especficas (patches). Estes patches, em alguns casos tambm chamados de hot fixes ou service packs, tm por finalidade corrigir os problemas de segurana referentes s vulnerabilidades descobertas. Portanto, extremamente importante que voc, alm de manter o sistema operacional e os softwares sempre atualizados, instale os patches sempre que forem disponibilizados.

38

5 - Worms 5.1 - Como posso saber se meu computador est sendo utilizado para propagar um worm?
Detectar a presena de um worm em um computador no uma tarefa fcil. Muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel. Portanto, o melhor evitar que seu computador seja utilizado para propag-los (vide seo 5.2).

5.2 - Como posso proteger um computador de worms?

Alm de utilizar um bom antivrus, que permita detectar e at mesmo evitar a propagao de um worm, importante que o sistema operacional e os softwares instalados em seu computador no possuam vulnerabilidades. Normalmente um worm procura explorar alguma vulnerabilidade disponvel em um computador, para que possa se propagar. Portanto, as medidas preventivas mais importantes so aquelas que procuram evitar a existncia de vulnerabilidades, como visto na seo 4.2. Uma outra medida preventiva ter instalado em seu computador um firewall pessoal (seo 7). Se bem configurado, o firewall pessoal pode evitar que um worm explore uma possvel vulnerabilidade em algum servio disponvel em seu computador ou, em alguns casos, mesmo que o worm j esteja instalado em seu computador, pode evitar que explore vulnerabilidades em outros computadores.

39

6 Backdoors 6.1 Existe alguma maneira de proteger um computador de backdoors?

Embora os programas antivrus no sejam capazes de descobrir backdoors em um computador, as medidas preventivas contra a infeco por vrus (seo 1.2) so vlidas para se evitar algumas formas de instalao de backdoors. A idia que voc no execute programas de procedncia duvidosa ou desconhecida, sejam eles recebidos por e-mail, sejam obtidos na Internet. A execuo de tais programas pode resultar na instalao de um backdoor. Caso voc utilize algum programa de administrao remota, certifique-se de que ele esteja bem configurado, de modo a evitar que seja utilizado como um backdoor. Uma outra medida preventiva consiste na utilizao de um firewall pessoal (vide seo 7). Apesar de no eliminarem os backdoors, se bem configurados, podem ser teis para amenizar o problema, pois podem barrar as conexes entre os invasores e os backdoors instalados em um computador. Tambm importante visitar constantemente os sites dos fabricantes de softwares e verificar a existncia de novas verses ou patches para o sistema operacional ou softwares instalados em seu computador. Existem casos onde a disponibilidade de uma nova verso ou de um patch est associada descoberta de uma vulnerabilidade em um software, que permite a um atacante ter acesso remoto a um computador, de maneira similar ao acesso aos backdoors.

40

7 - Firewalls
Os firewalls so dispositivos constitudos pela combinao de software e hardware, utilizados para dividir e controlar o acesso entre redes de computadores. O firewall pessoal um software ou programa utilizado para proteger um computador contra acessos no autorizados vindos da Internet, e constitui um tipo especifico de firewall.

7.1 - Como o firewall pessoal funciona?

Se algum ou algum programa suspeito tentar se conectar ao seu computador, um firewall bem configurado entra em aco para bloquear tais tentativas, podendo barrar o acesso a backdoors, mesmo se j estiverem instalados em seu computador. Alguns programas de firewall permitem analisar continuamente o contedo das conexes, filtrando cavalos de tria e vrus de e-mail antes mesmo que os antivrus entrem em ao. Tambm existem pacotes de firewall que funcionam em conjunto com os antivrus, provendo um maior nvel de segurana para os computadores onde so utilizados.

7.2 - Por que devo instalar um firewall pessoal em meu computador?

comum observar relatos de usurios que acreditam ter computadores seguros por utilizarem apenas programas antivrus. O fato que a segurana de um computador no pode basear-se apenas em um mecanismo de defesa. Um antivrus no capaz de impedir o acesso a um backdoor instalado em um computador. J um firewall bem configurado pode bloquear o acesso a ele. Alm disso, um firewall poder bloquear e permitir que o usurio identifique as tentativas de explorar vulnerabilidades em seu computador e as possveis origens de tais ataques. Alguns fabricantes de firewalls oferecem verses gratuitas de seus produtos para uso pessoal. Mas antes de obter um firewall, verifique sua procedncia e certifique-se que o fabricante confivel.

41

7.3 - Como posso saber se esto tentando invadir meu computador?

Normalmente os firewalls criam arquivos em seu computador, denominados arquivos de registro de eventos (logs). Nestes arquivos so armazenadas as tentativas de acesso no autorizado ao seu computador, para servios que podem ou no estar habilitados. A parte VII deste trabalho (Incidentes de Segurana e Uso Abusivo da Rede) apresenta um guia para que voc no s identifique tais tentativas, mas tambm reporte-as para os responsveis pela rede ou computador de onde a tentativa de ataque se originou.

42

8 - Programas de E-Mail 8.1 - Quais so os riscos associados ao uso de um programa de e-mail?

Grande parte dos problemas de segurana envolvendo e-mails esto relacionados aos contedos das mensagens, que normalmente abusam das tcnicas de engenharia social (partes I e IV deste trabalho) ou de caractersticas de determinados programas de email, que permitem abrir arquivos ou executar programas anexados s mensagens automaticamente.

8.2 - possvel configurar um programa de e-mail de forma mais segura?

Sim. Algumas dicas de configurao para melhorar a segurana do seu programa de email so: 1. desligar as opces que permitem abrir ou executar automaticamente arquivos ou programas anexados s mensagens; 2. desligar as opes de execuo do JavaScript e de programas Java (seo 9.2); 3. desligar, se possvel, o modo de visualizao de e-mails no formato HTML. Estas configuraes podem evitar que o seu programa de e-mail propague automaticamente vrus e cavalos de tria. Existem programas de e-mail que no implementam tais funes e, portanto, no possuem estas opes.

importante ressaltar que se o usurio seguir as recomendaes dos itens 1 e 2, mas ainda assim abrir os arquivos ou executar manualmente os programas que vm anexados aos e-mails, poder ter algum problema que resulte na violao da segurana do seu computador.

8.3 - Que medidas preventivas devo adotar no uso dos programas de e-mail?
Algumas medidas preventivas que minimizam os problemas trazidos com os e-mails so:

43

manter sempre a verso mais atualizada do seu programa de e-mail; evitar abrir arquivos ou executar programas anexados aos e-mails, sem antes

verific-los com um antivrus;

desconfiar sempre dos arquivos anexados mensagem, mesmo que tenham sido

enviados por pessoas ou instituies conhecidas. O endereo do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um vrus ou um cavalo de tria;

fazer o download de programas diretamente do site do fabricante;

Existem vrus que utilizam o e-mail como meio para sua replicao e quase sempre forjam o endereo do remetente. Ento desconfie de e-mails pedindo urgncia na instalao de algum aplicativo ou correes de determinados defeitos dos softwares que voc utilize. Caso isto ocorra, entre em contato com os distribuidores destes softwares para certificar-se sobre a veracidade do fato.

44

9 - Browsers 9.1 - Quais so os riscos associados ao uso de um browser?

Existem diversos riscos envolvidos na utilizao de um browser. Dentre eles, podem-se citar:

execuo de Javascript ou de programas Java hostis; execuo de programas ou controles ActiveX hostis; obteno e execuo de programas hostis em sites no confiveis; realizao de transaes comerciais ou bancrias via Web, sem qualquer meca-

nismo de segurana.

Nos dois primeiros casos o browser executa os programas automaticamente, ou seja, sem a interferncia do usurio.

9.2 - Quais so os riscos associados execuo de Javascripts e de programas Java?

Normalmente os browsers contm mdulos especficos para processar programas Java. Apesar destes mdulos fornecerem mecanismos de segurana, podem conter falhas de implementao e, neste caso, permitir que um programa Java hostil cause alguma violao de segurana em um computador. O JavaScript bem mais utilizado em pginas Web do que os programas Java e, de modo geral, constitui uma verso bem enxuta do Java. importante ressaltar que isto no quer dizer que no existam riscos associados sua execuo. Um Javascript hostil tambm pode acarretar a violao da segurana de um computador.

9.3 - Quais so os riscos associados execuo de programas ActiveX?

Antes de receber um programa ActiveX, o seu browser verifica sua procedncia atravs

45

de um esquema de certificados digitais . Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer pela Internet, at instalar programas (que podem ter fins maliciosos) em seu computador.

9.4 - Quais so os riscos associados ao uso de cookies?

Muitos sites, ao serem acessados, utilizam cookies para manter informaes, como por exemplo, as preferncias de um usurio. Estas informaes, muitas vezes, so compartilhadas entre diversas entidades na Internet e podem afetar a privacidade do usurio.

9.5 - Quais so os cuidados necessrios para realizar transaes via Web?

Normalmente as transaes, sejam comerciais ou bancrias , envolvem informaes sensveis, como senhas ou nmeros de cartes de crdito. Portanto, muito importante que voc , ao realizar transaes via Web, certifique-se da procedncia dos sites, se estes sites so realmente das instituies que dizem ser e se eles fornecem mecanismos de segurana para evitar que algum conectado Internet possa obter informaes sensveis de suas transaes, no momento em que estiverem sendo realizadas.

9.6 - Que medidas preventivas devo adotar no uso de browsers?

Algumas medidas preventivas para o uso de browsers so:

manter o seu browser sempre atualizado; desativar a execuo de programas Java na configurao de seu browser. Se for

absolutamente necessrio o Java estar ativado para que as pginas de um site possam ser vistas, basta ativ-lo antes de entrar no site e, ento, desativ-lo ao sair;

46

desativar a execuo de Javascripts antes de entrar em uma pginas desconheci-

da e, ento, ativ-lo ao sair. Caso voc opte por desativar a execuo de Javascripts na configurao de seu browser, provvel que muitas pginas Web no possam ser visualizadas;

permitir que programas ActiveX sejam executados em seu computador apenas

quando vierem de sites conhecidos e confiveis.

manter maior controle sobre o uso de cookies, caso voc queira ter maior privaci-

dade ao navegar na Internet;

certificar-se da procedncia do site e da utilizao de conexes seguras ao reali-

zar transaes via Web.

Os programas Java no so utilizados na maioria das pginas Web e, quando utilizados, a desativao de sua execuo no costuma comprometer a visualizao da pginas.

47

10 - Programas de Troca de Mensagens 10.1 - Quais so os riscos associados ao uso de salas de bate-papo e de programas como o ICQ ou IRC?
Os maiores riscos associados ao uso destes programas esto no contedo dos prprios dilogos. Algum pode utilizar tcnicas de engenharia social para obter informaes (muitas vezes sensveis) dos usurios destes programas. Voc pode ser persuadido a entregar seu e-mail, telefone, endereo, senhas (como a de acesso ao seu provedor), nmero do carto de crdito, em uma conversa amigvel. As conseqncias podem ser desde o recebimento de mensagens com contedo falso/alarmante ou mensagens no solicitadas contendo propagandas, at a utilizao da sua conta para realizar atividades ilcitas ou a utilizao de seu nmero de carto de crdito para fazer compras em seu nome. Alm disso, estes programas podem fornecer o seu endereo na Internet (endereo IP 3 ). Um atacante pode usar esta informao para, por exemplo, tentar explorar uma possvel vulnerabilidade em seu computador.

10.2 - Existem problemas de segurana especficos no uso de programas de troca instantnea de mensagens?
Sim. Programas, tais como o ICQ, AOL Instant Messenger e Yahoo! Messenger ficam constantemente conectados a um servidor (seno no teriam como saber quem est no ar) e, como esto conectados, podem ser alvos de ataques. Lembre-se que qualquer programa que utilize a Internet para prestar algum servio (como neste caso troca de mensagens) pode possuir alguma vulnerabilidade e ficar sujeito a ataques externos.

10.3 - Que medidas preventivas devo adotar no uso de programas de troca de mensagens?

48

Algumas medidas preventivas para o uso de programas de troca de mensagens so:

manter seu programa de troca de mensagens sempre atualizado, para evitar que

possua alguma vulnerabilidade;

no aceitar arquivos de pessoas desconhecidas, principalmente programas de com-

putadores;

evitar fornecer muita informao, principalmente a pessoas que voc acabou de

conhecer;

no fornecer, em hiptese alguma, informaes sensveis, tais como senhas ou

nmeros de cartes de crdito;

configurar o programa para ocultar o seu endereo IP.

49

11 - Programas de Distribuio de Arquivos 11.1 - Quais so os riscos associados ao uso de programas de distribuio de arquivos?
Existem diversos riscos envolvidos na utilizao de programas de distribuio de arquivos, tais como o Kaaza, Morpheus, Edonkey e Gnutella. Dentre estes riscos, podem-se citar: Acesso no autorizado: o programa de distribuio de arquivos pode permitir o acesso no autorizado ao computador, caso esteja mal configurado ou possua alguma vulnerabilidade; Softwares ou arquivos maliciosos: os softwares ou arquivos distribudos podem ter finalidades maliciosas. Podem, por exemplo, conter vrus, ser um cavalo de tria, ou instalar backdoors em um computador; Violao de direitos autorais (Copyright): a distribuio no autorizada de arquivos de msica, filmes, textos ou programas protegidos pela lei de direitos autorais constitui a violao desta lei.

11.2 - Que medidas preventivas devo adotar no uso de programas de distribuio de arquivos?
Algumas medidas preventivas para o uso de programas de distribuio de arquivos so :

manter seu programa de distribuio de arquivos sempre atualizado e bem confi-

gurado;

ter um bom antivrus instalado em seu computador, mant-lo atualizado e utiliz-lo

para verificar qualquer arquivo obtido, pois eles podem conter vrus ou cavalos de tria ;

certificar-se que os arquivos obtidos ou distribudos so livres, ou seja, no vio-

lam as leis de direitos autorais.

50

12 - Compartilhamento de Recursos do Windows 12.1 - Quais so os riscos associados ao uso do compartilhamento de recursos?
Um recurso compartilhado aparece no Explorer do Windows como uma mozinha segurando a parte de baixo do cone (pasta, impressora ou disco). Alguns dos riscos envolvidos na utilizao de recursos compartilhados por terceiros so:

abrir arquivos ou executar programas que contenham vrus; executar programas que sejam cavalos de tria.

J alguns dos riscos envolvidos em compartilhar recursos do seu computador so:

permitir o acesso no autorizado a recursos ou informaes sensveis; permitir que um atacante possa utilizar tais recursos, sem quaisquer restries,

para fins maliciosos.

Isto pode ocorrer se no forem definidas senhas para os compartilhamentos.

12.2 - Que medidas preventivas devo adotar no uso do compartilhamento de recursos?

Algumas medidas preventivas para o uso do compartilhamento de recursos do Windows so:

ter um bom antivrus instalado em seu computador, mant-lo atualizado e utiliz-lo

para verificar qualquer arquivo ou programa compartilhado, pois eles podem conter vrus ou cavalos de tria;

estabelecer senhas para os compartilhamentos, caso seja estritamente necess-

rio compartilhar recursos do seu computador. Procure elaborar senhas fceis de lembrar e difceis de serem descobertas.

51

importante ressaltar que voc deve sempre utilizar senhas para os recursos que deseje compartilhar, principalmente os que esto habilitados para leitura e escrita. E, quando possvel, no compartilhe recursos ou no deixe-os compartilhados por muito tempo.

52

13 - Realizao de Cpias de Segurana (Backups) 13.1 - Qual a importncincia de fazer cpias de segurana?
Cpias de segurana dos dados armazenados em um computador so importantes, no s para se recuperar de eventuais falhas, mas tambm das conseqncias de uma possvel infeco por vrus, ou de uma invaso.

13.2 - Quais so as formas de realizar cpias de segurana?

Cpias de segurana podem ser simples como o armazenamento de arquivos em CDs, ou mais complexas como o espelhamento de um disco rgido inteiro em um outro disco de um computador. Atualmente, uma unidade gravadora de CDs e um software que possibilite copiar dados para um CD so suficientes para que a maior parte dos usurio de computadores realizem suas cpias de segurana. Tambm existem equipamentos e softwares mais sofisticados e especficos que, dentre outras atividades, automatizam todo o processo de realizao de cpias de segurana, praticamente sem interveno do usurio. A utilizao de tais equipamentos e softwares envolve custos mais elevados e depende de necessidades particulares de cada usurio.

13.3 - Com que freqncia devo fazer cpias de segurana?

A freqncia com que realizada uma cpia de segurana e a quantidade de dados armazenados neste processo depende da periodicidade com que o usurio cria ou modifica arquivos. Cada usurio eve criar sua prpria poltica para a realizao de cpias de segurana.

13.4 - Que cuidados devo ter com as cpias de segurana?

53

Os cuidados com cpias de segurana dependem das necessidades do usurio. O usurio deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cpias de segurana:

Que informaes realmente importantes precisam estar armazenadas em minhas

cpias de segurana?

Quais seriam as conseqncias/prejuzos, caso minhas cpias de segurana fos-

sem destrudas ou danificadas?

O que aconteceria se minhas cpias de segurana fossem furtadas?

Baseado nas respostas para as perguntas anteriores, um usurio deve atribuir maior ou menor importncia a cada um dos cuidados discutidos abaixo: Escolha dos dados: cpias de segurana devem conter apenas arquivos confiveis do usurio, ou seja, que no contenham vrus ou sejam cavalos de tria. Arquivos do sistema operacional e que faam parte da instalao dos softwares de um computador no devem fazer parte das cpias de segurana. Eles pode ter sido modificados ou substitudos por verses maliciosas, que quando restauradas podem trazer uma srie de problemas de segurana para um computador. O sistema operacional e os softwares de um computador podem ser reinstalados de mdias confiveis, fornecidas por fabricantes confiveis. Mdia utilizada: a escolha da mdia para a realizao da cpia de segurana extremamente importante e depende da importncia e da vida til que a cpia deve ter. A utilizao de alguns disquetes para armazenar um pequeno volume de dados que esto sendo modificados constantemente perfeitamente vivel. Mas um grande volume de dados, de maior importncia, que deve perdurar por longos perodos, deve ser armazenado em mdias mais confiveis, como por exemplo os CDs; Local de armazenamento: cpias de segurana devem ser guardadas em um local condicionado (longe de muito frio ou muito calor) e restrito, de modo que apenas pessoas autorizadas tenham acesso a este local (segurana fsica); Cpia em outro local: cpias de segurana podem ser guardadas em locais diferentes. Um exemplo seria manter uma cpia em casa e outra no escritrio. Tambm existem empresas especializadas em manter reas de armazenamento com cpias de segurana de seus clientes. Nestes casos muito importante considerar a segurana fsica de

54

suas cpias, como discutido no item anterior; Criptografia dos dados: os dados armazenados em uma cpia de segurana podem conter informaes sigilosas. Neste caso, os dados que contenham informaes sigilosas devem ser armazenados em algum formato criptografado.

55

SEGURANA PARA INTERNET PARTE III: PRIVACIDADE

RESUMO

Esta parte do trabalho discute questes relacionadas privacidade do usurio ao utilizar a Internet. apresentado o conceito de criptografia, onde so discutidos os mtodos de criptografia por chave nica, por chaves pblica e privada e as assinaturas digitais. Tambm so abordados temas relacionados privacidade dos e-mails, a privacidade no acesso e disponibilizao de pginas Web, bem como alguns cuidados que o usurio deve ter com seus dados pessoais e ao armazenar dados em um disco rgido.

56

SUMRIO

1 - Criptografia ........................................................................................................................ 57 1.1 - O que criptografia de chave nica? ..................................................................... 57 1.2 - O que criptografia de chaves pblica e privada? ............................................... 58 1.3 - O que assinatura digital? ....................................................................................... 58 1.4 - Que exemplos podem ser citados sobre o uso de criptografia de chave nica e de chaves pblica e privada? .................................................................................................. 59 1.5 - Que tamanho de chave deve ser utilizado? ........................................................... 60

2 - Privacidade dos E-Mails .................................................................................................. 61 2.1 - passvel algum ler e-mails de outro usurio? ................................................. 61 2.2 - Como possvel assegurar a privacidade dos e-mails? ..................................... 61 2.3 - A utilizao de programas de criptografia suficiente para assegurar a privacidade dos e-mails? ....................................................................................................................... 62

3 - Privacidade no Acesso e Disponibilizao de Pginas Web ..................................... 63 3.1 - Que cuidados devo ter ao acessar pginas Web e ao receber Cookies? ........ 63 3.2 - Que cuidados devo ter ao disponibilizar um pgina na Internet, como por exemplo um blog? ............................................................................................................................. 64

4 - Cuidados com seus Dados Pessoais ............................................................................ 65

5 - Cuidados com os Dados Armazenados em um disco rgido ..................................... 66 5.1 - Como posso sobrescrever todos os dados de um disco rgido .......................... 66

57

1 - Criptografia
a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. parte de um campo de estudos que trata das comunicaes secretas, usadas, dentre outras finalidades, para:

autenticar a identidade de usurio; autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerci-

ais e bancrias;

proteger a integridade de transferncias eletrnicas de fundos.

Uma mensagem codificada por um mtodo de criptografia deve ser privada, ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso ao contedo da mensagem. Alm disso, uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o remetente mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada. Os mtodos de criptografia atuais so seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma seqncia de caracteres, que pode conter letras, dgitos e smbolos (como uma senha), e que convertida em um nmero, utilizado pelos mtodos de criptografia para codificar e decodificar mensagens. Atualmente, os mtodos criptogrficos podem sem subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave nica (vide seo 1.1) e a criptografia de chave pblica e privada (vide seo 1.2).

1.1 - O que criptografia de chave nica?

A criptografia de chave nica utiliza a mesma chave tanto para a codificar quanto para decodificar mensagens. Apesar deste mtodo ser bastante eficiente em relao ao tempo de processamento, ou seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a necessidade de utilizao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou entidades que desejem trocar informaes criptografadas.

58

Exemplos de utilizao deste mtodo de criptografia e sugestes para o tamanho mnimo da chave nica podem ser vistos nas sees 1.4 e 1.5, respectivamente.

1.2 - O que criptografia de chaves pblica e privada?

A criptografia de chaves pblica e privada utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens. Neste mtodo cada pessoa ou entidade mantm duas chaves: uma pblica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codificadas com a chave pblica s podem ser decodificadas com a chave privada correspondente. Seja o exemplo, onde Jos e Maria querem se comunicar de maneira sigilosa. Ento, eles tero que realizar os seguintes procedimentos: 1. Jos codifica uma mensagem utilizando a chave pblica de Maria, que est disponvel para o uso de qualquer pessoa; 2. Depois de criptografada, Jos envia a mensagem para Maria, atravs da Internet; 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever realizar o mesmo procedimento, mas utilizando a chave pblica de Jos. Apesar deste mtodo ter o desempenho bem inferior em relao ao tempo de processamento, quando comparado ao mtodo de criptografia de chave nica (seco 1.1), apresenta como principal vantagem a livre distribuio de chaves pblicas, no necessitando de um meio seguro para que chaves sejam combinadas antecipadamente. Alm disso, pode ser utilizado na gerao de assinaturas digitais, como mostra a seco 1.3. Exemplos de utilizao deste mtodo de criptografia e sugestes para o tamanho mnimo das chaves pblica e privada podem ser vistos nas seco 1.4 e 1.5, respectivamente.

1.3 - O que assinatura digital?

A assinatura digital consiste na criao de um cdigo, atravs da utilizao de uma

59

chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. Desta forma, utilizado o mtodo de criptografia de chaves pblica e privada, mas em um processo inverso ao apresentado no exemplo da seco 1.2. Se Jos quiser enviar uma mensagem assinada para Maria, ele ir codificar a mensagem com sua chave privada. Neste processo ser gerada uma assinatura digital, que ser adicionada mensagem enviada para Maria. Ao receber a mensagem, Maria ir utilizar a chave pblica de Jos para decodificar a mensagem. Neste processo ser gerada uma segunda assinatura digital, que ser comparada primeira. Se as assinaturas forem idnticas, Maria ter certeza que o remetente da mensagem foi o Jos e que a mensagem no foi modificada. importante ressaltar que a segurana do mtodo baseia-se no fato de que a chave privada conhecida apenas pelo seu dono. Tambm importante ressaltar que o fato de assinar uma mensagem no significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu contedo, seria preciso codific-la com a chave pblica de Maria, depois de assin-la.

1.4 - Que exemplos podem ser citados sobre o uso de criptografia de chave nica e de chaves pblica e privada?
Exemplos que combinam a utilizao dos mtodos de criptografia de chave nica e de chaves pblica e privada so as conexes seguras, estabelecidas entre o browser de um usurio e um site, em transaes comercias ou bancrias via Web. Estas conexes seguras via Web utilizam o mtodo de criptografia de chave nica, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usurio precisa informar ao site qual ser a chave nica utilizada na conexo segura, antes de iniciar a transmisso de dados sigilosos. Para isto, o browser obtm a chave pblica do certificado da instituio que mantm o site. Ento, ele utiliza esta chave pblica para codificar e enviar uma mensagem para o site, contendo a chave nica a ser utilizada na conexo segura. O site utiliza sua chave

60

privada para decodificar a mensagem e identificar a chave nica que ser utilizada. A partir deste ponto, o browser do usurio e o site podem transmitir informaes, de forma sigilosa e segura, atravs da utilizao do mtodo de criptografia de chave nica. A chave nica pode ser trocada em intervalos de tempo determinados, atravs da repetio dos procedimentos descritos anteriormente, aumentando assim o nvel de segurana de todo o processo.

1.5 - Que tamanho de chave deve ser utilizado?

Os mtodos de criptografia atualmente utilizados, e que apresentam bons nveis de segurana, so publicamente conhecidos e so seguros pela robustez de seus algoritmos e pelo tamanho das chaves que utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum mtodo de fora bruta, ou seja, testar combinaes de chaves at que a correta seja descoberta. Portanto, quanto maior for a chave, maior ser o nmero de combinaes a testar, inviabilizando assim a descoberta de uma chave em tempo hbil. Alm disso, chaves podem ser trocadas regularmente, tornando os mtodos de criptografia ainda mais seguros. Atualmente, para se obter um bom nvel de segurana na utilizao do mtodo de criptografia de chave nica, aconselhvel utilizar chaves de no mnimo 128 bits. E para o mtodo de criptografia de chaves pblica e privada aconselhvel utilizar chaves de no mnimo 1024 bits. Dependendo dos fins para os quais os mtodos criptogrficos.sero utilizados, deve-se considerar a utilizao de chaves maiores: 256 ou 512 bits para chave nica e 2048 ou 4096 bits para chaves pblica e privada.

61

2 - Privacidade dos E-Mails

O servio de e-mails foi projetado para ter como uma de suas principais caractersticas a simplicidade. O problema deste servio que foi comparado com o correio terrestre, dando a falsa idia de que os e-mails so cartas fechadas. Mas eles so, na verdade, como cartes postais, cujo contedo pode ser lido por quem tiver acesso a eles.

2.1 - possvel algum ler e-mails de outro usurio?

As mensagens que chegam caixa postal do usurio ficam normalmente armazenadas em um arquivo no servidor de e-mails do provedor, at o usurio se conectar na Internet e obter os e-mails atravs do seu programa de e-mails. Portanto, enquanto os e-mails estiverem no servidor, podero ser lidos por pessoas que tenham acesso a este servidor. E enquanto estiverem em trnsito, existe a possibilidade de serem lidos por alguma pessoa conectada Internet.

2.2 - Como possvel assegurar a privacidade dos e-mails?

Se a informao que se deseja enviar por e-mail for confidencial, a soluo utilizar programas que permitam criptografar o e-mail atravs de chaves (senhas ou frases), de modo que ele possa ser lido apenas por quem possuir a chave certa para decodificar a mensagem. Alguns softwares de criptografia podem estar embutidos nos programas de e-mail, outros podem ser adquiridos separadamente e integrados aos programas de e-mail. Devem ser usados, preferencialmente, programas de criptografia que trabalhem com pares de chaves (vide seco 1.2), tais como o PGP ou o GnuPG, que podem ser obtidos no site http://www.pgpi.org/. Estes programas, apesar de serem muito utilizados na criptografia de mensagens de email, tambm podem ser utilizados na criptografia de qualquer tipo de informao como

62

por exemplo, um arquivo sigiloso a ser armazenado em uma cpia de segurana.

2.3 - A utilizao de programas de criptografia suficiente para assegurar a privacidade dos e-mails?
Os programas de criptografia so utilizados, dentre outras finalidades, para decodificar mensagens criptografadas, recebidas por um usurio, no momento em que este desejar l-las. Ao utilizar um programa de criptografia para decodificar uma mensagem, possvel que o programa de e-mail permita salvar a mensagem no formato decodificado, ou seja, em texto claro. No caso da utilizao de programas de e-mail com esta caracterstica, a privacidade do contedo da mensagem garantida durante a transmisso da mensagem, mas no necessariamente no seu armazenamento. Normalmente existe um consenso tico entre administradores de redes e provedores de nunca lerem a caixa postal de um usurio sem o seu consentimento. Portanto, extremamente importante o usurio estar atento para este fato, e tambm certificar-se sobre o modo como suas mensagens esto sendo armazenadas. Como uma mensagem pode ser decodificada sempre que o usurio desejar l-la, aconselhvel que ela seja armazenada de forma criptografada e no em texto claro.

63

3 - Privacidade no Acesso e Disponibilizao de Pginas Web

Existem cuidados que devem ser tomados por um usurio ao acessar ou disponibilizar pginas na Internet. Muitas vezes o usurio pode expor informaes pessoais e permitir que seu browser receba ou envie dados sobre suas preferncias e sobre o seu computador. Isto pode afetar a privacidade de um usurio, a segurana de seu computador e at mesmo sua prpria segurana.

3.1 - Que cuidados devo ter ao acessar pginas Web e ao receber Cookies?
Cookies so muito utilizados para rastrear e manter as preferncias de um usurio ao navegar pela Internet. Estas preferncias podem ser compartilhadas entre diversos sites na Internet, afetando assim a privacidade de um usurio. No incomum acessar pela primeira vez um site de msica, por exemplo, e observar que todas as ofertas de CDs para o seu gnero musical preferido j esto disponveis, sem que voc tenha feito qualquer tipo de escolha. Alm disso, ao acessar uma pgina na Internet, o seu browser disponibiliza uma srie de informaes, de modo que os cookies podem ser utilizados para manter referncias contendo informaes de seu computador, como o hardware, o sistema operacional, softwares instalados e, em alguns casos, at o seu endereo de e-mail. Estas informaes podem ser utilizadas por algum mal intencionado, por exemplo, para tentar explorar uma possvel vulnerabilidade em seu computador. Portanto, aconselhvel que voc desabilite o recebimento de cookies, exceto para sites confiveis, onde sejam realmente incesrios. As verses recentes dos browsers normalmente permitem que o usurio desabilite o recebimento, confirme se quer ou no receber e at mesmo visualize o contedo dos cookies. Tambm existem softwares que permitem controlar o recebimento e envio de informaes entre um browser e os sites visitados. Dentre outras funes, estes podem permitir que cookies sejam recebidos apenas de sites especficos. Uma outra forma de manter sua privacidade ao acessar pginas na Internet utilizar sites que permitem que voc fique annimo. Estes so conhecidos como anonymizers e intermediam o envio e recebimento de informaes entre o seu browser e o site que

64

se deseja visitar. Neste caso, importante ressaltar que voc deve certificar-se que o anonymizer confivel. Alm disso, voc no deve utilizar este servio para realizar transaes via Web.

3.2 - Que cuidados devo ter ao disponibilizar um pgina na Internet, como por exemplo um blog?
Um usurio, ao disponibilizar uma pgina na Internet, precisa ter alguns cuidados, visando proteger os dados contidos em sua pgina. Um tipo especfico de pgina Web que vem sendo muito utilizado por usurios de Internet o blog. Este servio usado para manter um registro freqente de informaes, e tem como principal vantagem permitir que o usurio publique seu contedo sem necessitar de conhecimento tcnico sobre a construo de pginas na Internet. Apesar de terem diversas finalidades, os blogs tm sido muito utilizados como dirios pessoais. Em seu blog, um usurio poderia disponibilizar informaes , tais como:

seus dados pessoais (e-mail, telefone, endereo, etc); dados sobre o seu computador (dizendo, por exemplo, . . . comprei um computa-

dor da marca X e instalei o sistema operacional Y. . . );

dados sobre os softwares que utiliza (dizendo, por exemplo, . . . instalei o progra-

ma Z, que acabei de obter do site W. . . );

informaes sobre o seu cotidiano (como, por exemplo, hora que saiu e voltou

para casa, data de uma viagem programada, horrio que foi ao caixa eletrnico, etc);

extremamente importante estar atento e avaliar com cuidado que informaes sero disponibilizados em uma pgina Web. Estas informaes podem no s ser utilizadas por algum mal-intencionado, por exemplo, em um ataque de engenharia social, mas tambm para atentar contra a segurana de um computador, ou at mesmo contra a segurana fsica do prprio usurio.

65

4 - Cuidados com seus Dados Pessoais

Procure no fornecer seus dados pessoais (como nome, e-mail, endereo e nmeros de documentos) para terceiros. Tambm nunca fornea informaes sensveis (como senhas e nmeros de carto de crdito), a menos que esteja sendo realizada uma transao (comercial ou financeira) e se tenha certeza da idoneidade da instituio que mantm o site. Estas informaes geralmente so armazenadas em servidores das instituies que mantm os sites. Com isso, corre-se o risco destas informaes serem repassadas sem autorizao para outras instituio ou de um atacante comprometer este servidor e ter acesso a todas as informaes. Fique atento aos ataques de engenharia social. Ao ter acesso a seus dados pessoais, um atacante poderia, por exemplo, utilizar seu e-mail em alguma lista de distribuio, ao de SPAMs ou se fazer passar por voc na Internet (atravs do uso de uma de suas senhas).

66

5 - Cuidados com os Dados Armazenados em um Disco Rgido

importante ter certos cuidados no armazenamento de dados em um computador. Caso voc mantenha informaes sensveis ou pessoais que voc no deseja que sejam vistas por terceiros (como nmeros de cartes de crdito, declarao de imposto de renda, senhas, etc), estas devem ser armazenadas em algum formato criptografado. Estes cuidados so extremamente importantes no caso de notebooks, pois so mais visados e, portanto, mais suscetveis a roubos, furtos, etc. Caso as informaes no estejam criptografadas, se voc necessitar levar o computador a alguma assistncia tcnica, por exemplo, seus dados podero ser lidos por algum tcnico mal-intencionado. Para criptografar estes dados, como visto na seco 2.2, existem programas que, alm de serem utilizados para a criptografia de e-mails, tambm podem ser utilizados para criptografar arquivos. Um exemplo seria utilizar um programa que implemente criptografia de chaves pblica e privada (seco 1.2), como o PGP. O arquivo sensvel seria criptografado com a sua chave pblica e, ento, decodificado com a sua chave privada, sempre que fosse necessrio. importante ressaltar que a segurana deste mtodo de criptografia depende do sigilo da chave privada. A idia, ento, manter a chave privada em um CD ou em outro disco rgido (em uma gaveta removvel) e que este no acompanhe o computador, caso seja necessrio envi-lo, por exemplo, para a assistncia tcnico. Tambm deve-se ter um cuidado especial ao trocar ou vender um computador. Apenas apagar ou formatar um disco rgido no suficiente para evitar que informaes antes armazenadas possam ser recuperadas. Portanto, importante sobrescrever todos os dados do disco rgido (vide seco 5.1).

5.1 Como posso sobrescrever todos os dados de um disco rgido?

Para assegurar que informaes no possam ser recuperadas de um disco rgido preciso sobrescrev-las com outras informaes. Um exemplo seria gravar o caracter 0 (zero), ou algum caracter escolhido aleatoriamente, em todos os espaos de armazena-

67

mento do disco. importante ressaltar que preciso repetir algumas vezes a operao de sobrescrever os dados de um disco rgido, para assegurar que informaes anteriormente armazenadas no possam ser recuperadas. Existem softwares gratuitos e comerciais que permitem sobrescrever dados de um disco rgido e que podem ser executados em diversos sistemas operacionais, como o Windows (95/98, 2000, etc), Unix (Linux, FreeBSD, etc) e Mac OS.

68

SEGURANA PARA INTERNET PARTE IV: FRAUDES NA INTERNET

RESUMO

Esta parte do trabalho aborda questes relacionadas fraudes na Internet. So apresentadas algumas maneiras de preveno contra ataques de engenharia social, situaes envolvendo fraudes comerciais e bancrias via Internet, bem como medidas preventivas que um usurio deve adotar ao acessar sites de comrcio eletrnico ou Internet Banking. Tambm apresentado o conceito de boato (hoax) e so discutidas algumas implicaes de segurana e formas para se evitar sua distribuio.

69

SUMRIO

1 - Engenharia Social ............................................................................................................. 70 1.1 - Como me protejo deste tipo de abordagem? ......................................................... 70

2 - Fraudes em Comrcio Eletrnico e Internet Banking .................................................. 71 2.1 - Que situaes podem ser citadas sobre fraudes envolvendo comrcio eletrnico ou Internet Banking? .............................................................................................................. 71 2.2 - Quais so os cuidados que devo ter ao acessar sites de comrcio eletrnico ou Internet Banking? .................................................................................................................... 73 2.3 - Como verificar se a conexo criptografada? ....................................................... 74 2.4 - Como posso saber se o site que estou acessando no foi falsificado? ............ 75 2.5 - Como posso saber se o certificado emitido para o site legtimo ..................... 75

3 - Boatos ................................................................................................................................. 77 3.1 - Quais so os problemas de segurana relacionados aos boatos? .................... 77 3.2 - Como evitar a distribuio dos boatos? .................................................................. 78 3.3 - Como posso saber se um e-mail um boato? ....................................................... 78

70

1 - Engenharia Social
Nos ataques de engenharia social normalmente o atacante frauda a sua identidade, se fazendo passar por outra pessoa, e utiliza meios como uma ligao telefnica ou e-mail, para persuadir o usurio a fornecer informaes ou realizar determinadas aes, como por exemplo executar um programa, acessar a pgina de Internet Banking atravs de um link em um e-mail ou em uma pgina, etc. Exemplos especficos destes ataques, envolvendo fraudes em comrcio eletrnico e Internet Banking, so abordados na seo 2.1.

1.1 - Como me protejo deste tipo de abordagem?

Em casos de engenharia social o bom senso essencial. Fique atento para qualquer abordagem, seja via telefone, seja atravs de um e-mail, onde uma pessoa (em muitos casos falando em nome de uma instituio) solicita informaes (principalmente confidenciais) a seu respeito. Procure no fornecer muita informao e no fornea, sob hiptese alguma, informaes sensveis, como senhas ou nmeros de cartes de crdito. Nestes casos e nos casos em que receber mensagens, procurando lhe induzir a executar programas ou clicar em um link contido em um e-mail ou pgina Web, extremamente importante que voc, antes de realizar qualquer ao, procure identificar e entrar em contato com a instituio envolvida, para certificar-se sobre o caso.

71

2 - Fraudes em Comrcio Eletrnico e Internet Banking

Normalmente, no uma tarefa simples atacar e fraudar dados em um servidor de uma instituio bancria ou comercial. Ento, atacantes tm concentrado seus esforos na explorao de fragilidades dos usurio para realizar fraudes comerciais e bancrias atravs da Internet. Portanto, muito importante que usurio de Internet tenham certos cuidados ao acessar sites de comrcio eletrnico ou Internet Banking. A seo 2.1 discute algumas situaes envolvendo fraudes no acesso a estes sites e a seo 2.2 apresenta alguns cuidados a serem tomados pelos usurio de Internet.

2.1 - Que situaes podem ser citadas sobre fraudes envolvendo comrcio eletrnico ou Internet Banking?
Existem diversas situaes que vm sendo utilizadas por atacantes em fraudes envolvendo o comrcio eletrnico e Internet Banking. A maior parte das situaes apresentadas abaixo, com exceo das situaes 3 e 5, envolvem tcnicas de engenharia social. Situao 1: o usurio recebe um e-mail ou ligao telefnica, de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco. Neste e-mail ou ligao telefnica o usurio persuadido a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. Situao 2: o usurio recebe um e-mail, cujo remetente pode ser um suposto funcionrio, gerente, ou at mesmo uma pessoa conhecida, sendo que este e-mail contm um programa anexado. A mensagem, ento , solicita que o usurio execute o programa para, por exemplo, obter acesso mais rpido a um site de comrcio eletrnico ou ter acesso a informaes mais detalhadas em sua conta bancria. Estes programas normalmente so cavalos de tria, especificamente projetados para monitorar as aes do usurio nos acessos a sites de comrcio eletrnico ou Internet Banking, e tm como principal objetivo capturar e enviar senhas ou nmero de cartes de crdito para um atacante. Para realizar o monitoramento, um programa deste tipo pode utilizar diversas formas. Dentre elas, podem-se citar:

72

Teclas digitadas: um programa pode capturar e armazenar todas as teclas digitadas pelo usurio, em particular, aquelas digitadas logo aps a entrada em um site de comrcio eletrnico ou de Internet Banking. Deste modo, o programa pode armazenar e enviar informaes sensveis (como senhas de acesso ao banco ou nmero de cartes de crdito) para um atacante; Posio do cursor e tela: alguns sites de Internet Banking tm fornecido um teclado virtual, para evitar que seus usurios utilizem o teclado convencional e, assim, aumentar o nvel de segurana na realizao transaes bancrias via Web. O fato que um programa pode armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse foi clicado. Estas informaes permitem que um atacante, por exemplo, saiba qual foi a senha de acesso ao banco utilizada pelo usurio; Webcam: um programa pode controlar a Webcam do usurio, direcionando-a para o teclado, no momento em que o usurio estiver acessando um site de comrcio eletrnico ou de Internet Banking. Deste modo, as imagens coletadas (incluindo aquelas que contm a digitao de senhas ou nmero de cartes de crdito) podem ser enviadas para um atacante. Situao 3: um atacante compromete o servidor de nomes do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro. Neste caso, um atacante pode monitorar todas as aes do usurio, incluindo, por exemplo, a digitao de sua senha bancrias ou do nmero de seu carto de crdito. importante ressaltar que nesta situao normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro) e o endereo mostrado no browser do usurio poder ser diferente do endereo correspondente ao site verdadeiro; Situao 4: o usurio pode ser persuadido a acessar um site de comrcio eletrnico ou de Internet Banking, atravs de um link recebido por e-mail ou em uma pgina de terceiros. Este link pode direcionar o usurio para uma pgina Web falsificada, semelhante ao site que o usurio realmente deseja acessar. A partir da, um atacante pode monitorar todas as aes do usurio, incluindo, por exemplo, a digitao de sua senha bancrias ou do nmero de seu carto de crdito. Tambm importante ressaltar que nesta situao normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro) e o endereo mostrado no browser do usurio ser diferente do endereo correspondente ao site verdadeiro;

73

Situao 5: o usurio, ao utilizar computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, pode ter todas as suas aes monitoradas (incluindo a digitao de senhas ou nmero de carto de crdito), atravs de programas especificamente projetados para este fim (como visto na situao 2). Apesar de existirem todas estas situao de risco, tambm existem alguns cuidados, relativamente simples, que podem e devem ser seguidos pelos usurio ao acessarem sites de comrcio eletrnico e Internet Banking, de modo a evitar que fraudadores utilizem seus dados (principalmente dados sensveis).

2.2 - Quais so os cuidados que devo ter ao acessar sites de comrcio eletrnico ou Internet Banking?
Existem diversos cuidados que um usurio deve ter ao acessar sites de comrcio eletrnico ou Internet Banking. Dentre eles, podem-se citar:

estar atento e prevenir-se dos ataques de engenharia social (como visto na seo 1.1); realizar transaes somente em sites de instituies que voc considere confiveis; certificar-se de que o endereo apresentado em seu browser corresponde ao site

que voc realmente quer acessar, antes de realizar qualquer aes;

antes de aceitar um novo certificado, verificar junto s instituies que mantm o

site sobre sua emisso e quais so os dados nele contidos;

procurar sempre digitar em seu browser o endereo desejado. No utilize links em

pgina de terceiros ou recebidos por e-mail;

certificar-se que o site faz uso de conexo segura, ou seja, que os dados transmi-

tidos entre seu browser e o site sero criptografados e utiliza um tamanho de chave considerado seguro (vide seo 2.3);

verificar o certificado do site, para assegurar-se que ele foi emitido para a institui-

o que se deseja acessar e est dentro do prazo de validade (vide seo 2.5);

no acessar sites de comrcio eletrnico ou Internet Banking atravs de computa-

dores de terceiros;

desligar sua Webcam (caso voc possua alguma), ao acessar um site de comr-

cio eletrnico ou Internet Banking.

74

Alm dos cuidados apresentados anteriormente muito importante que voc tenha alguns cuidados adicionais, tais como:

manter o seu browser sempre atualizado e com todas as correes (patches) apli-

cadas;

alterar a configurao do seu browser para restringir a execuo de Javascript e

de programas Java ou ActiveX, exceto para casos especficos;

configurar seu programa de e-mail para no abrir arquivos ou executar programas

automaticamente;

no executar programas obtidos pela Internet, ou recebidos por e-mail.

Com estes cuidados adicionais voc pode evitar que seu browser contenha alguma vulnerabilidade, e que programas maliciosos (como os cavalos de tria) sejam instalados em seu computador para, dentre outras finalidades, fraudar seus acessos a sites de comrcio eletrnico ou Internet Banking.

2.3 - Como verificar se a conexo criptografada?

Existem dois tens que podem ser visualizados na janela do seu browser, e que significam que as informaes transmitidas entre o browser e o site visitado esto sendo criptografadas. O primeiro pode ser visualizado no local onde o endereo do site digitado. O endereo deve comear com https:// (diferente do http:// nas conexo normais), onde o s antes do sinal de dois-pontos indica que o endereo em questo de um site com conexo segura e, portanto, os dados sero criptografados antes de serem enviados. O segundo item a ser visualizado corresponde a algum desenho ou sinal, indicando que a conexo segura. Normalmente, o desenho mais adotado nos browsers recentes de um cadeado fechado (se o cadeado estiver aberto, a conexo no segura). Ao clicar sobre o cadeado, ser exibida uma tela que permite verificar as informaes referentes ao certificado emitido para a instituio que mantm site, bem como informaes sobre o tamanho da chave utilizada para criptografar os dados. muito importante que voc verifique se a chave utilizada para criptografar as informa-

75

es a serem transmitidas entre seu browser e o site de no mnimo 128 bits. Chaves menores podem comprometer a segurana dos dados a serem transmitidos.

2.4 - Como posso saber se o site que estou acessando no foi falsificado?
Existem alguns cuidados que um usurio deve ter para certificar-se que um site no foi falsificado. O primeiro cuidado checar se o endereo digitado permanece inalterado no momento em que o contedo do site apresentado no browser do usurio. Existem algumas situaes, como visto na seo 2.1, onde o acesso a um site pode ser redirecionado para uma pgina falsificada, mas normalmente nestes casos o endereo apresentado pelo browser diferente daquele que o usurio quer realmente acessar. E um outro cuidado muito importante verificar as informaes contidas no certificado emitido para a instituio que mantm o site. Estas informaes podem dizer se o certificado ou no legtimo e, conseqentemente, se o site ou no falsificado (vide seo 2.5).

2.5 - Como posso saber se o certificado emitido para o site legtimo?

extremamente importante que o usurio verifique algumas informaes contidas no certificado. Um exemplo de um certificado, emitido para um site de uma instituio mostrado abaixo. This Certificate belongs to: This Certificate was issued by: www.example.org www.examplesign.com/CPS Incorp.by Ref. Terms of use at LIABILITY LTD.(c)97 ExampleSign www.examplesign.com/dir (c)00 ExampleSign International Server CA -UF Tecno Class 3 Example Associados, Inc. ExampleSign, Inc. Cidade, Estado, BR Serial Number: 70:DE:ED:0A:05:20:9C:3D:A0:A2:51:AA:CA:81:95:1A

76

This Certificate is valid from Thu Sep 05, 2002 to Sat Sep 06, 2003 Certificate Fingerprint: 92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0

O usurio deve, ento, verificar se o certificado foi emitido para o site da instituio que ele deseja acessar. As seguintes informaes devem ser checadas:

o endereo do site; o nome da instituio (dona do certificado); o prazo de validade do certificado.

Ao entrar em um site seguro pela primeira vez, seu browser ir apresentar uma janela pedindo para confirmar o recebimento de um novo certificado. Ento, verifique se os dados do certificado correspondem instituio que voc realmente deseja acessar e se seu browser reconheceu a autoridade certificadora que emitiu o certificado. Se ao entrar em um site seguro, que voc utilize com freqncia, seu browser apresentar uma janela pedindo para confirmar o recebimento de um novo certificado, fique atento. Uma situaes possvel seria que a validade do certificado do site tenha vencido, ou o certificado tenha sido revogado por outros motivos, e um novo certificado foi emitido para o site. Mas isto tambm pode significar que voc est recebendo um certificado ilegtimo e, portanto, estar acessando um site falsificado. Uma dica para reconhecer esta situao que alm das informaes contidas no certificado normalmente no corresponderem instituio que voc realmente deseja acessar, seu browser possivelmente ir informar que a Autoridade Certificadora que emitiu o certificado para o site no pde ser reconhecida. De qualquer modo, caso voc receba um novo certificado ao acessar um site e tenha alguma dvida ou desconfiana, no envie qualquer informao para o site antes de entrar em contato com a instituio que o mantm, para esclarecer o ocorrido.

77

3 - Boatos
Boatos (Hoaxes) so e-mails que possuem contedos alarmantes ou falsos, e que geralmente tm como remetente ou apontam com autor da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Dentre os diversos boatos tpicos, que chegam s caixas postais de usurio conectados Internet, podem-se citar:

correntes ou pirmides; pessoas ou crianas que esto prestes a morrer de cncer; a Repblica Federativa de algum pas oferecendo elevadas quantias em dinheiro

e pedindo a confirmao do usurio ou, at mesmo, solicitando algum dinheiro para efetuar a transferncia.

Histrias deste tipo so criadas no s para espalhar desinformao pela Internet, mas tambm para outros fins maliciosos.

3.1 - Quais so os problemas de segurana relacionados aos boatos?

Normalmente, o objetivo do criador de um boato verificar o quanto ele se propaga pela Internet e por quanto tempo permanece se propagando. De modo geral, os boatos no so responsveis por grandes problemas de segurana, a no ser ocupar espao nas caixa de e-mails de usurio. Mas podem existir casos com conseqncias mais srias como, por exemplo, um boato que procura induzir usurio de Internet a fornecer informaes importantes (como nmeros de documentos, de contas-corrente em banco ou de cartes de crdito), ou um boato que indica uma srie de ae a serem realizadas pelos usurio e que, se forem realmente efetivadas, podem resultar em danos mais srios (como instrues para apagar um arquivo que supostamente contm um vrus, mas que na verdade parte importante do sistema operacional instalado no computador).

78

Alm disso, e-mails de boatos podem conter vrus ou cavalos de tria anexados. importante ressaltar que um boato tambm pode comprometer a credibilidade e a reputao tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam.

3.2 - Como evitar a distribuio dos boatos?

Normalmente, os boatos se propagam pela boa vontade e solidariedade de quem os recebe. Isto ocorre, muitas vezes, porque aqueles que o recebem:

confiam no remetente da mensagem; no verificam a procedncia da mensagem; no checam a veracidade do contedo da mensagem.

Para que voc possa evitar a distribuio de boatos muito importante checar a procedncia dos e-mails, e mesmo que tenham como remetente algum conhecido, preciso certificar-se que a mensagem no um boato (veja seo 3.3). importante ressaltar que voc nunca deve repassar este tipo de mensagem, pois estar endossando ou concordando com o seu contedo.

3.3 - Como posso saber se um e-mail um boato?

Existem sites, como o http://HoaxBusters.ciac.org/, onde podem-se encontrar listas contendo os boatos que esto circulando pela Internet e seus respectivos contedos. Alm disso, os cadernos de informtica dos jornais de grande circulao normalmente, trazem matrias ou avisos sobre os boatos mais recentes.

79

SEGURANA PARA INTERNET PARTE V: REDES DE BANDA LARGA E REDES SEM FIO (WIRELESS)

RESUMO

Esta parte deste trabalho discute implicaes de segurana peculiares aos servios de banda larga e wireless. Tambm apresenta algumas recomendaes para que usurios destes servios possam atualiz-los de forma mais segura.

80

SUMRIO

1 - Servios de Banda Larga ................................................................................................ 81 1.1 - Quais so os riscos do uso de banda larga? ......................................................... 81 1.2 - Por que um atacante teria maior interesse por um computador com banda larga? ..... 81 1.3 - O que fazer para proteger um computador conectado por banda larga? ......... 82 1.4 - O que fazer para proteger uma rede conectada por banda larga? .................... 83

2 - Redes Wireless ................................................................................................................. 84 2.1 - Quais so os riscos do uso de redes wireless? .................................................... 84 2.2 - Que cuidados devo ter com um cliente wireless? ................................................. 84 2.3 - Que cuidados devo ter ao montar uma rede wireless domstica? ..................... 85

81

1 - Servios de Banda Larga

Servios de banda larga so aqueles que permitem ao usurios conectar seus computadores Internet com velocidades maiores do que as normalmente usadas em linhas discadas. Exemplos desse tipo de servios so ADSL, cable modem e acesso via satlite. Alm da maior velocidade, outra caracterstica desse tipo de servio a possibilidade do usurios deixar seu computador conectado Internet por longos perodos de tempo, sem limite de uso ou custos adicionais.

1.1 - Quais so os riscos do uso de banda larga?

O uso dos servios de banda larga torna um computador, ou rede, mais exposto a ataques. Alguns dos motivos so:

os longos perodos que o computador fica ligado Internet; a pouca freqncia urgncia com que o endereo IP do computador muda ou, em

alguns casos, o fato deste endereo nunca mudar;

a maior velocidade de conexo, que pode facilitar alguns tipos de ataque.

1.2 - Por que um atacante teria maior interesse por um computador com banda larga?
Geralmente um computador conectado atravs de banda larga possui boa velocidade de conexo e fica por longos perodos ligados Internet, mas no possui os mesmos mecanismos de segurana que servidores. Isto os torna alvos mais fceis para os atacantes. Alm disso, estes computadores podem ser usados para diversos propsitos, como por exemplo:

realizar ataques de negao de servio, aproveitando-se da maior velocidade dis-

82

ponvel. Diversas mquinas comprometidas podem tambm ser combinadas de modo a criar um ataque de negao de servio distribudo. Maiores informaes sobre ataque de negao de servio;

usar a mquina comprometida como ponto de partida para atacar outras redes,

dificultando o rastreio da real origem do ataque;

furtar informaes tais como nmero de carto de crdito, senhas, etc; usar recursos do computador. Por exemplo, o invasor pode usar o espao dispon-

vel em seu disco rgido para armazenar programas copiados ilegalmente, msica, imagens, etc. O invasor tambm pode usar a CPU disponvel, para por exemplo, quebrar senhas de sistemas comprometidos;

enviar SPAM ou navegar na Internet de maneira annima, a partir de certos pro-

gramas que podem estar instalados no seu computador, tais como AnalogX e WinGate,e que podem estar mal configurados.

1.3 - O que fazer para proteger um computador conectado por banda larga?
recomendvel que o usurio de servios de banda larga tome os seguintes cuidados com o seu computador:

instalar um firewall pessoal e ficar atento aos registros de eventos (logs) gerados

por este programa.

instalar um bom antivrus e atualiz-lo freqntemente; manter o seu software (sistema operacional, programas que utiliza, etc) sempre

atualizado e com as ltimas correes aplicadas (patches);

desligar o compartilhamento de disco, impressora, etc; mudar a senha padro do seu equipamento de banda larga (modem ADSL, por

exemplo) pois as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples busca. Esse fato de conhecimento dos atacantes e bastante abusado.

83

1.4 - O que fazer para proteger uma rede conectada por banda larga?
Muitos usurios de banda larga optam por montar uma pequena rede (domstica ou mesmo em pequenas empresas), com vrios computadores usando o mesmo acesso Internet. Nesses casos, alguns cuidados importantes, alm dos citados anteriormente, so:

instalar um firewall separando a rede interna da Internet; importante que voc guarde a senha original e lembre de restaur-la sempre que

for necessrio, como por exemplo em caso de manuteno do equipamento.

caso seja instalado algum tipo de proxy (como AnalogX, WinGate, WinProxy, etc)

configur-lo para que apenas aceite requisies partindo da rede interna;

caso seja necessrio compartilhar recursos como disco ou impressora entre m-

quinas da rede interna, devem-se tomar os devidos cuidados para que o firewall no permita que este compartilhamento seja visvel pela Internet.

muito importante notar que apenas instalar um firewall no suficiente. Muitos equipamentos de banda larga, como roteadores ADSL, esto incluindo outras funcionalidades, como por exemplo concentradores de acesso (Access Points) para redes wireless. Nesse caso, alm de seguir as dicas dessa seo tambm pode ser interessante observar as dicas da seo 2.3.

84

2 - Redes Wireless
As redes wireless, tambm conhecidas como IEEE 802.11, Wi-Fi ou WLANs, so redes que utilizam sinais de rdio para a sua comunicao. Este tipo de rede define duas formas de comunicao: modo infra-estrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP); modo ponto a ponto (ad-hoc): permite que um pequeno grupo de mquinas se comunique diretamente, sem a necessidade de um AP. Estas redes wireless ganharam grande popularidade pela mobilidade que provem aos seus usurios e pela facilidade de instalao e uso em ambientes domsticos e empresariais, hotis, conferncias, aeroportos, etc.

2.1 - Quais so os riscos do uso de redes wireless?

Embora esse tipo de rede seja muito conveniente, existem alguns problemas de segurana que devem ser levados em considerao pelos seus usurios:

estas redes utilizam sinais de rdio para a comunicao e qualquer pessoa com

um mnimo de equipamento poder interceptar os dados transmitidos por um cliente wireless (notebooks, PDAs, estaes de trabalho, etc);

por serem bastante simples de instalar, muitas pessoas esto utilizando redes desse

tipo em casa, sem nenhum cuidado adicional, e at mesmo em empresas, sem o conhecimento dos administradores de rede.

2.2 - Que cuidados devo ter com um cliente wireless?

Vrios cuidados devem ser observados quando pretende-se conectar uma rede wireless como cliente, quer seja com notebooks, PDAs, estaes de trabalho, etc. Dentre eles, podem-se citar:

85

considerar que, ao conectar a uma WLAN, voc estar conectando-se a uma rede

pblica e, portanto, seu computador estar exposto a ameaas. muito importante que voc tome os seguintes cuidados com o seu computador: possuir um firewall pessoal; possuir um antivrus instalado e atualizado; aplicar as ltimas correes em seus softwares (sistema operacional, programas que utiliza, etc); desligar compartilhamento de disco, impressora, etc.

desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente neces-

srio e desligue- o assim que no precisar mais;

usar WEP (Wired Equivalent Privacy) sempre que possvel, que permite criptogra-

far o trfego entre o cliente e o AP. Fale com o seu administrador de rede para verificar se o WEP est habilitado e se a chave diferente daquelas que acompanham a configurao padro do equipamento. O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta no autorizada;

considerar o uso de criptografia nas aplicaes, como por exemplo o uso de PGP

para o envio de e-mails, SSH para conexes remotas ou ainda o uso de VPNs;

habilitar a rede wireless somente quando for us-la e desabilit-la aps o uso.

Algumas estaes de trabalho e notebooks permitem habilitar e desabilitar o uso de redes wireless atravs de comandos ou botes especficos. No caso de notebooks com cartes wireless PCMCIA, insira o carto apenas quando for usar a rede e retire-o ao terminar de usar.

2.3 - Que cuidados devo ter ao montar uma rede wireless domstica?
Pela convnincia e facilidade de configurao das redes wireless, muitas pessoas tem instalado estas redes em suas casas. Nestes casos, alm das preocupaes com os clientes da rede, tambm so necessrio alguns cuidados na configurao do AP. Algumas recomendaes so:

ter em mente que, dependendo da potncia da antena de seu AP, sua rede do-

mstica pode abranger uma rea muito maior que apenas a da sua casa. Com isto sua

86

rede pode ser utilizada sem o seu conhecimento ou ter seu trfego capturado por vizinhos ou pessoas que estejam nas proximidades da sua casa.

mudar configuraes padro que acompanham o seu AP. Alguns exemplos so:

alterar as senhas; alterar o SSID (Server Set ID); desabilitar o broadcast de SSID;

usar sempre que possvel WEP (Wired Equivalent Privacy), para criptografar o

trfego entre os clientes e o AP. Vale lembrar que o protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta no autorizada;

trocar as chaves WEP que acompanham a configurao padro do equipamento.

Procure usar o maior tamanho de chave possvel (128 bits);

desligue seu AP quando no estiver usando sua rede; Existem configuraes de segurana mais avanadas para redes wireless, que

requerem conhecimentos de administrao de redes.

87

SEGURANA PARA INTERNET PARTE VI: SPAM

RESUMO

Esta parte do trabalho aborda o conceito de SPAM e os problemas que ele pode acarretar para usurios, provedores e empresas. Tambm so citadas tcnicas de filtragem que podem ser utilizadas por usurios para tentar bloquear o recebimento de SPAMs.

88

SUMRIO

1 - SPAM .................................................................................................................................. 89 1.1 - Quais so os problemas que o SPAM pode causar para um usurio da Internet? ...... 89 1.2 - Quais so os problemas que o SPAM pode causar para os provedores de acesso, back-bones e empresas? ................................................................................................ 90 1.3 - Como fazer para filtrar os e-mails de modo a barrar o recebimento de SPAMs? ... 90 1.4 - Para quem devo reclamar quando receber um SPAM? ....................................... 91 1.5 - Que informaes devo incluir numa reclamao de SPAM? ............................... 91

89

1 - SPAM
SPAM o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o contedo exclusivamente comercial, este tipo de mensagem tambm referenciada como UCE (do ingls Unsolicited Commercial Email).

1.1 - Quais so os problemas que o SPAM pode causar para um usurio da Internet?
Os usurios do servio de correio eletrnico podem ser afetados de diversas formas. Alguns exemplos so: No recebimento de e-mails. Boa parte dos provedores de Internet limita o tamanho da caixa postal do usurio no seu servidor. Caso o nmero de SPAMs recebidos seja muito grande o usurio corre o risco de ter sua caixa postal lotada com mensagens no solicitadas. Se isto ocorrer, todas as mensagens enviadas a partir deste momento sero devolvidas ao remetente e o usurio no conseguir mais receber e-mails at que possa liberar espao em sua caixa postal; Gasto desnecessrio de tempo. Para cada SPAM recebido, o usurio necessita gastar um determinado tempo para ler, identificar o e-mail como SPAM e remov-lo da caixa postal. Aumento de custos. Independentemente do tipo de acesso Internet utilizado, quem paga a conta pelo envio do SPAM quem o recebe. Por exemplo, para um usurio que utiliza acesso discado Internet, cada SPAM representa alguns segundos a mais de ligao que ele estar pagando. Perda de produtividade. Para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de SPAMs aumenta o tempo dedicado tarefa de leitura de e-mails, alm de existir a chance de mensagens importantes no serem lidas, serem lidas com atraso ou apagadas por engano. Contedo imprprio. Como a maior parte dos SPAMs so enviados para conjuntos aleatrios de endereos de e-mail, no h como prever se uma mensagem com contedo imprprio ser recebida. Os casos mais comuns so de SPAMs com contedo pornogrfico ou de pedofilia enviados para crianas.

90

1.2 - Quais so os problemas que o SPAM pode causar para os provedores de acesso, backbones e empresas?
Para as empresas e provedores os problemas so inmeros e, muitas vezes, o custo adicional causado pelo SPAM transferido para a conta a ser paga pelos usurios. Alguns dos problemas sentidos pelos provedores e empresas so: Impacto na banda. Para as empresas e provedores o volume de trfego gerado por causa de SPAMs os obriga a aumentar a capacidade de seus links de conexo com a Internet. Como o custo dos links alto, isto diminui os lucros do provedor e muitas vezes pode refletir no aumento dos custos para o usurio. M utilizao dos servidores. Os servidores de e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens no solicitadas. Alm disso, o espao em disco ocupado por mensagens no solicitadas enviadas para um grande nmero de usurios considervel. Perda de clientes. Os provedores muitas vezes perdem clientes que se sentem afetados pelos SPAMs que recebem ou pelo fato de terem seus e-mails filtrados por causa de outros clientes que esto enviando SPAM. Investimento em pessoal e equipamentos. Para lidar com todos os problemas gerados pelo SPAM os provedores necessitam contratar mais tcnicos especializados e acrescentar sistemas de filtragem de SPAM, que implicam na compra de novos equipamentos. Como conseqncia urgncia os custos do provedor aumentam.

1.3 - Como fazer para filtrar os e-mails de modo a barrar o recebimento de SPAMs?
Existem basicamente dois tipos de software que podem ser utilizados para barrar SPAMs: aqueles que so colocados nos servidores, e que filtram os e-mails antes que cheguem at o usurio, e aqueles que so instalados nos computadores dos usurios, que filtram os e-mails com base em regras individuais de cada usurio. Podem ser encontradas referncias para diversas ferramentas de filtragem de e-mails nas pginas abaixo: - Spam Filters http://www.paulgraham.com/filters.html

91

- Free Spam Filters http://wecanstopspam.org/jsp/Wiki? FreeSpamFilters - OpenSource Spam Filters http://wecanstopspam.org/jsp/Wiki? OpenSourceSpamFilters - Commercial Spam Filters http://wecanstopspam.org/jsp/Wiki? CommercialSpamFilters

Tambm interessante consultar seu provedor de acesso, ou o administrador de sua rede, para verificar se existe algum filtro de e-mail instalado nos servidores que voc utiliza.

1.4 - Para quem devo reclamar quando receber um SPAM?

Deve-se reclamar de SPAMs para os responsveis pela rede de onde partiu a mensagem. Se esta rede possuir uma poltica de uso aceitvel, a pessoa que enviou o SPAM pode receber as penalidades que nela esto previstas. Muitas vezes, porm, difcil conhecer a real origem do SPAM. Os spammers costumam enviar suas mensagens atravs de mquinas mal configuradas, que permitem que terceiros as utilizem para enviar os e-mails. Se isto ocorrer, a reclamao para a rede de origem do SPAM servir para alertar os seus responsveis dos problemas com suas mquinas. Alm de enviar uma reclamao para os responsveis pela rede de onde saiu a mensagem, procure manter o e-mail mail-abuse@nic.br na cpia de reclamaes de SPAM. Deste modo o NBSO pode manter dados estatsticos sobre a incidncia e origem de SPAMs no Brasil e, tambm, identificar mquinas mal configuradas que estejam sendo abusadas por spammers. Vale comentar que recomenda-se no responder a um SPAM ou enviar um e-mail solicitando a remoo da lista. Geralmente, este um dos mtodos que os spammers utilizam para confirmar que um endereo de e-mail vlido e realmente algum o utiliza.

1.5 - Que informaes devo incluir numa reclamao de SPAM?

Para que os responsveis por uma rede possam identificar a origem de um SPAM necessrio que seja enviada a mensagem recebida acompanhada do seu cabealho

92

completo (header). no cabealho de uma mensagem que esto as informaes sobre o endereo IP de origem da mensagem, por quais servidores de e-mail a mensagem passou, entre outras. Informaes sobre como obter os cabealhos de mensagens podem ser encontradas em http: //www.antispam.org.br/header.html.

93

SEGURANA PARA INTERNET PARTE VII: INCIDENTES DE SEGURANA E USO ABUSIVO DA REDE

RESUMO

Esta parte do trabalho aborda tpicos relativos a incidentes de segurana e uso abusivo da rede. So discutidos os conceitos de poltica de segurana, poltica de uso aceitvel, registros de eventos e sistemas de deteco de intruso. Tambm so discutidos os procedimentos relativos ao processo de identificao e notificao de incidentes de segurana.

94

SUMRIO

1 - Incidentes de Segurana e Abusos................................................................................ 95 1.1 - O que incidente de segurana?............................................................................. 95 1.2 - O que poltica de segurana? ................................................................................ 95 1.3 - O que poltica de uso aceitvel (AUP)? ............................................................... 95 1.4 - O que pode ser considerado uso abusivo da rede?.............................................. 96

2 - Registros de Eventos (logs) ............................................................................................ 97 2.1 - O que so logs? .......................................................................................................... 97 2.2 - O que um sistema de deteco de intruso (IDS)? ........................................... 97 2.3 - Que tipo de atividade pode ocasionar a gerao de um log? ............................. 97 2.4 - O que um falso positivo? ........................................................................................ 97 2.5 - Que tipo de informao est presente em um log? ............................................... 98

3 - Notificaes de Incidentes e Abusos ............................................................................. 99 3.1 - Por que devo notificar incidentes? ........................................................................... 99 3.2 - Para quem devo notificar os incidentes? ................................................................ 99 3.3 - Por que devo manter o NBSO na cpia das notificaes? ............................................ 100 3.4 - Como encontro os responsveis pela mquina de onde partiu um ataque? .... 100 3.5 - Que informaes devo incluir em uma notificao de incidente? ....................... 101 3.6 - Onde posso encontrar outras informaes a respeito de notificaes de incidentes? . 101

95

1 - Incidentes de Segurana e Abusos 1.1 - O que incidente de segurana?

Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. So exemplos de incidentes de segurana:

tentativas de ganhar acesso no autorizado a sistemas ou dados; ataques de negao de servio; uso ou acesso no autorizado a um sistema; modificaes em um sistema, sem o conhecimento, instrues ou consentimento

prvio do dono do sistema;

desrespeito poltica de segurana ou poltica de uso aceitvel de uma empresa

ou provedor de acesso.

1.2 - O que poltica de segurana?

A poltica de segurana atribui direitos e responsabilidades s pessoas que lidam com os recursos computacionais de uma instituio e com as informaes neles armazenados. Ela tambm define as atribuies de cada um em relao segurana dos recursos com os quais trabalham. Uma poltica de segurana tambm deve prever o que pode ou no ser feito na rede da instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana considerado um incidente de segurana. Na poltica de segurana tambm so definidas as penalidades s quais esto sujeitos aqueles que no cumprirem a poltica.

1.3 - O que poltica de uso aceitvel (AUP)?

96

A poltica de uso aceitvel (AUP, de Acceptable Use Policy) um documento que define como os recursos computacionais de uma organizao podem ser utilizados. Tambm ela quem define os direitos e responsabilidades dos usurios. Os provedores de acesso Internet normalmente deixam suas polticas de uso aceitvel disponveis em suas pginas. Empresas costumam dar conhecimento da poltica de uso aceitvel no momento da contratao ou quando o funcion comea a utilizar os recursos computacionais da empresa.

1.4 - O que pode ser considerado uso abusivo da rede?

No h uma definio exata do que possa ser considerado um uso abusivo da rede. Internamente s empresas e instituies situaes que caracterizam o uso abusivo da rede esto definidas na poltica de uso aceitvel. Na Internet como um todo, os comportamentos listados abaixo so geralmente considerados como uso abusivo:

envio de SPAM; envio de correntes da felicidade e de correntes para ganhar dinheiro rpido; cpia e distribuio no autorizada de material protegido por direitos autorais; utilizao da Internet para fazer difamao, calnia e ameaas; tentativas de ataques a outros computadores; comprometimento de computadores ou redes.

97

2 - Registros de Eventos (logs) 2.1 - O que so logs?

Os logs so registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de segurana, eles normalmente so gerados por firewalls ou por sistemas de deteco de intruso.

2.2 - O que um sistema de deteco de intruso (IDS)?

Um sistema de deteco de intruso (IDS Intrusion Detection System) um programa, ou um conjunto de programas, cuja funo detectar atividades incorretas, maliciosas ou anmalas. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.

2.3 - Que tipo de atividade pode ocasionar a gerao de um log?

Os firewalls, dependendo de como foram configurados, podem gerar logs quando algum tenta acessar um computador e este acesso barrado pelo firewall. Sempre que um firewall gera um log in-1 . J os sistemas de deteco de intruso podem gerar logs tanto para casos de tentativa de ataques, quanto para casos em que um ataque teve sucesso. Apenas uma anlise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de deteco de intruso tambm podem gerar falsos positivos.

2.4 - O que um falso positivo?

O termo falso positivo utilizado para designar uma situao em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade no um ataque.

98

Um exemplo clssico de falso positivo ocorre no caso de usurios que costumam se conectar em servidores de IRC e que possuem um firewall pessoal. Atualmente boa parte dos servidores de IRC possui uma poltica de uso que define que um usurio, para se conectar em determinados servidores, no deve possuir em sua mquina pessoal nenhum software que atue como proxy 2 . Para verificar se um usurio tem algum software deste tipo, ao receberem uma solicitao de conexo por parte de um cliente, os servidores enviam para a mquina do cliente algumas conexes que checam pela existncia destes programas. Se o usurio possuir um firewall quase certo que estas conexes sero apontadas como um ataque. Outro caso comum de falso positivo ocorre quando o firewall no est devidamente configurado e indica como ataques respostas a solicitao feitas pelo prprio usurio.

2.5 - Que tipo de informao est presente em um log?

Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informaes:

Data e horrio em que ocorreu uma determinada atividade; Endereo IP de origem da atividade; Portas envolvidas;

Dependendo do grau de refinamento da ferramenta que gerou o log ele tambm pode conter informaes como:

O timezone do horrio do log; Protocolo utilizado (TCP, UDP, ICMP, etc). Os dados completos que foram enviados para o computador ou rede.

J os sistemas de deteco de intruso podem gerar logs tanto para casos de tentativa de ataques, quanto para casos em que um ataque teve sucesso. Apenas uma anlise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de deteo de intruso tambm podem gerar falsos positivos.

99

3 - Notificaes de incedentes e abusos 3.1 - Por que devo notificar incidentes?

Quando um ataque lanado contra uma mquina ele normalmente tem uma destas duas origens:

um programa malicioso que est fazendo um ataque de modo automtico, como

por exemplo um worm;

uma pessoa que pode estar ou no utilizando ferramentas que automatizam ataques.

Quando o ataque parte de uma mquina que foi vtima de um worm, reportar este incidente para os responsveis pela mquina que originou o ataque vai ajud-los a identificar o problema e resolv-lo. Se este no for o caso, a pessoa que est atacando o seu computador pode estar violando a poltica de uso aceitvel da rede que utiliza ou, pior ainda, pode ter invadido uma mquina e a estar utilizando para atacar outros computadores. Neste caso, avisar os responsveis pela mquina de onde parte o ataque pode alert-los para o mau comportamento de um usurios para uma invaso que ainda no havia sido detectada.

3.2 - Para quem devo notificar os incidentes?

Os incidentes ocorridos devem ser notificados para os responsveis pela mquina que originou a atividade e tambm para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui:

os responsveis pela rede que originou o incidente, incluindo o grupo de seguran-

a e abusos, se existir um para aquela rede;

o grupo de segurana e abusos da rede em que voc est conectado (seja um

provedor, empresa, universidade ou outro tipo de instituio);

Caso algum dos sites envolvidos seja brasileiro mantenha o NBSO (nbso@nic.br) na

100

cpia da mensagem.

3.3 - Por que devo manter o NBSO na cpia das notificaes?

O NIC BR Security Office (NBSO) grupo responsveis por coordenar as aes entre sites no caso de incidentes de segurana em computadores envolvendo redes conectadas Internet brasileira. O NBSO tambm mantm estatsticas sobre os incidentes a ele reportados e desenvolve documentao de apoio para usurios e administradores de redes Internet. Manter o NBSO nas cpias das notificaes de incidentes de segurana importante para permitir que:

as estatsticas geradas reflitam os incidentes ocorridos na Internet brasileira; o NBSO escreva documentos direcionados para as necessidades dos usurios da

Internet no Brasil;

o NBSO possa correlacionar dados relativos a vrios incidentes, identificar ata-

ques coordenados, novos tipos de ataques, etc.

3.4 - Como encontro os responsveis pela mquina de onde partiu um ataque?

Na Internet so mantidas diversas bases de dados com as informaes a respeito dos responsveis por cada bloco de nmeros IPs existente. Estas bases de dados esto nos chamados Servidores de Whois. O servidor de Whois para os IPs alocados ao Brasil pode ser consultado em http:// registro.br/. Para os demais pases e continentes existem diversos outros servidores. O site http://whois. geektools.com/cgi-bin/proxy.cgi aceita consultas referentes a qualquer nmero IP e redirecio-na estas consultas para os servidores de Whois apropriados. Os passos para encontrar os dados dos responsveis incluem:

Acessar o site http://registro.br/ e fazer uma pesquisa pelo nmero IP ou pelo nome

101

de domnio da mquina de onde partiu a atividade;

Se o IP da mquina estiver alocado para o Brasil, os dados dos responsveis se-

ro exibidos;

Se aparecer a mensagem: No alocado para o Brasil, significa que o IP est alocado

para algum outro pas. Uma consulta no site http://whois.geektools.com/cgi-bin/proxy.

cgi pode retornar os e-mails dos responsveis.

Vale lembrar que os e-mails que so encontrados a partir destas consultas no so necessariamente os e-mails da pessoa que praticou um incidente de segurana. Estes e-mails so dos responsveis pela rede onde a mquina est conectada, ou seja, podem ser os administradores da rede, scios da empresa, ou qualquer outra pessoa que foi designada para cuidar da conexes da instituio com a Internet.

3.5 - Que informaes devo incluir em uma notificao de incidente?

Para que os responsveis pela rede de onde partiu o incidente possam identificar a origem da atividade necessrio que a notificao contenha dados que permitam esta identificao. So dados essenciais a serem includos em uma notificao:

logs completos; data, horrio e timezone dos logs ou da ocorrncia da atividade sendo notificada; dados completos do incidente ou qualquer outra informao que tenha sido utiliza-

da para identificar a atividade.

3.6 - Onde posso encontrar outras informaes a respeito de notificaes de incidentes?

O NBSO mantm uma FAQ (Frequently Asked Questions) com respostas para as dvidas mais comuns relativas ao processo de notificao de incidentes. A FAQ pode ser encontrada em: http://www.nbso.nic.br/docs/faq1.html.

102