Documente Academic
Documente Profesional
Documente Cultură
Centro Universitrio Fundao Santo Andr Matemtica Bacharelado Administrao de CPD - Auditoria Prof. Tiago Novembro de 2003
Turma: 4 B Amarildo de Souza Nogueira Baruc S. Baptista Ronie Kazuo Nishikawa Wadeny Roberto Moyss 24921 24997 24836 14124
RESUMO
Esta parte do trabalho apresenta conceitos de segurana de computadores, onde so abordados temas relacionados s senhas, certificados digitais, engenharia social, vrus e worm, vulnerabilidade, backdoor, cavalo de tria e ataques de negao de servio. Os conceitos aqui apresentados so importantes para o entendimento de partes subseqentes deste trabalho.
SUMRIO
1 - Segurana de Computadores .......................................................................................... 6 1.1 - Por que devo me preocupar com a segurana do meu computador? ............... 6 1.2 - Por que algum iria querer invadir meu computador? .......................................... 7
2 - Senhas ................................................................................................................................ 8 2.1 - O que no se deve usar na elaborao de uma senha? ...................................... 8 2.2 - O que uma boa senha? ........................................................................................... 9 2.3 - Como elaborar uma boa senha? .............................................................................. 9 2.4 - Quantas senhas diferentes devo usar? ................................................................... 9 2.5 - Com que freqncia devo mudar minhas senhas? ............................................... 10 2.6 - Quais os cuidados especiais que devo ter com as senhas? ............................... 10
3 - Certificado Digital .............................................................................................................. 12 3.1 - O que Autoridade Certificadora (AC)? .................................................................. 12 3.2 - Que exemplos podem ser citados sobre o uso de certificados? ......................... 12
4 - Cookies ............................................................................................................................... 14
5 - Engenharia Social ............................................................................................................. 15 5.1 - Que exemplos podem ser citados sobre este mtodo de ataque? ..................... 15
6 - Vulnerabilidade .................................................................................................................. 17
7 - Vrus .................................................................................................................................... 18 7.1 - Como um vrus pode afetar um computador? ........................................................ 18 7.2 - Como o computador infectado por um vrus? ..................................................... 18 7.3 - Um computador pode ser infectado por um vrus sem que se perceba? .......... 19 7.4 - O que um vrus propagado por e-mail? ................................................................ 19 7.5 - O que um vrus de macro? ..................................................................................... 19
9 Backdoors ............................................................................................................................. 22 9.1 Como feita a incluso de um backdoor em um computador? ............................. 22 9.2 A existncia de um backdoor depende necessariamente de uma invaso? ....... 22 9.3 O uso de backdoor restrito a um sistema operacional especfico? ................... 23
10 Cavalo de Tria .................................................................................................................. 24 10.1 Como um cavalo de tria pode ser diferenciado de um vrus ou worm? ........... 24 10.2 Como um cavalo de tria se instala em um computador? .................................... 24 10.3 Que exemplos podem ser citados sobre programas contendo cavalos de tria? ... 25
11 Negao de Servio (Denial of Service) ........................................................................ 26 11.1 O que DDoS? ............................................................................................................ 26 11.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invaso? .. 26
1 - Segurana de Computadores
Um computador (ou sistema computacional) dito seguro se este atende a trs requisitos bsicos relacionados aos recursos que o compem: confidencialidade, integridade e disponibilidade. A confidencialidade diz que a informao s est disponvel para aqueles devidamente autorizados; a integridade diz que a informao no destrua ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os servios/recursos do sistema esto disponveis sempre que forem necessrios. Alguns exemplos de violaes a cada um desses requisitos so:
Confidencialidade: algum obtm acesso no autorizado ao seu computador e tem acesso a todas as informaes contidas na sua Declarao de Imposto de Renda;
Integridade: algum obtm acesso no autorizado ao seu computador e altera informaes da sua Declarao de Imposto de Renda, momentos antes de voc envi-la Receita Federal;
Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negao de servio e por este motivo voc fica impossibilitado de enviar sua Declarao de Imposto de Renda Receita Federal.
suas senhas e nmeros de cartes de crdito fossem furtados; sua conta de acesso Internet fosse utilizada por algum no autorizado;
seus dados pessoais, ou at mesmo comerciais, fossem alterados, destrudos ou visualizados por estranhos, etc.
utilizar seu computador em alguma atividade ilcita, para esconder sua real identi-
dade e localizao;
utilizar seu computador para lanar ataques contra outros computadores; utilizar seu disco rgido como repositrio de dados; meramente destruir informaes (vandalismo); disseminar mensagens alarmantes e falsas; ler e enviar e-mails em seu nome; propagar vrus de computador; furtar nmeros de cartes de crdito e senhas bancrias; furtar a senha da conta de seu provedor, para acessar a Internet se fazendo pas-
furtar dados do seu computador, como por exemplo informaes do seu Imposto
de Renda.
2 - Senhas
Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar o usurio, ou seja, utilizada no processo de verificao da identidade do usurio, assegurando que este realmente quem diz ser. Se voc fornece sua senha para uma outra pessoa, esta poder utiliz-la para se passar por voc na Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha so:
ler e enviar e-mails em seu nome; obter informaes sensveis dos dados armazenados em seu computador, tais como
terceiros.
Portanto, a senha merece considerao especial, afinal ela de sua inteira responsabilidade.
10
svel por realizar movimentaes financeiras em um conjunto de contas bancrias e todas estas contas possuem a mesma senha. Ento, procure responder as seguintes perguntas:
Quais seriam as conseqncias se algum descobrisse esta senha? E se elas fossem diferentes, uma para cada conta, caso algum descobrisse uma
Existem servios que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais difcil ser descobr-la, portanto procure utilizar a maior senha possvel.
11
utilizar algum mtodo de persuaso, para tentar convenc-lo a entregar sua senha
Em relao a este ltimo caso, existem tcnicas que permitem observar dados, medida que estes trafegam entre redes. possvel que algum extraia informao sensveis desses dados, como por exemplo senhas, caso no estejam criptografados. Portanto, alguns dos principais cuidados que voc deve ter com suas senhas so:
certifique-se de no estar sendo observado ao digitar a sua senha; no fornea sua senha para qualquer pessoa, em hiptese alguma; certifique-se que seu provedor disponibiliza servios criptografados, principalmen-
12
3 - Certificado Digital
O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para comprovar sua identidade. Exemplos semelhantes a um certificado so o RG, CPF e carteira de habilitao de uma pessoa. Cada um deles contm um conjunto de informaes que identificam a pessoa e alguma autoridade (para estes exemplos, rgos pblicos) garantindo sua validade. Algumas das principais informaes encontradas em um certificado digital so:
dados que identificam o dono (nome, nmero de identificao, estado, etc); nome da Autoridade Certificadora (AC) que emitiu o certificado (vide seo 3.1); o nmero de srie do certificado; o perodo de validade do certificado; a assinatura digital da AC.
O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informaes nele contidas.
13
quando voc acessa um site com conexo segura, como por exemplo o acesso
sua conta bancria pela Internet, possvel checar se o site apresentado realmente da instituio que diz ser, atravs da verificao de seu certificado digital;
quando voc consulta seu banco pela Internet, este tem que assegurar-se de sua
quando voc envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu
certificado para assinar digitalmente a mensagem, de modo a assegurar ao destinatrio que o e-mail seu e que no foi adulterado entre o envio e o recebimento.
14
4 - Cookies
Cookies so pequenas informaes que os sites visitados por voc podem armazenar em seu browser. Estes so utilizados pelos sites de diversas formas, tais como:
guardar a sua identificao e senha quando voc vai de uma pgina para outra; manter listas de compras ou listas de produtos preferidos em sites de comrcio
eletrnico;
personalizar sites pessoais ou de notcias, quando voc escolhe o que quer que
manter a lista das pginas vistas em um site, para estatstica ou para retirar as
A parte III deste trabalho (Privacidade) apresenta alguns problemas relacionados aos cookies, bem como algumas sugestes para que se tenha maior controle sobre eles.
15
5 - Engenharia Social
O termo utilizado para descrever um mtodo de ataque, onde algum faz uso da persuaso, muitas vezes abusando da ingenuidade ou confiana do usurio, para obter informaes que podem ser utilizadas para ter acesso no autorizado a computadores ou informaes.
5.1 Que exemplos podem ser citados sobre este mtodo de ataque?
O primeiro exemplo apresenta um ataque realizado por telefone. Os outros dois exemplos apresentam casos onde foram utilizadas mensagens de e-mail.
Exemplo 1: algum desconhecido liga para a sua casa e diz ser do suporte tcnico do seu provedor. Nesta ligao ele diz que sua conexo com a Internet est apresentando algum problema e, ento, pede sua senha para corrig-lo. Caso voc entregue sua senha, este suposto tcnico poder realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso Internet e, portanto, relacionando tais atividades ao seu nome.
Exemplo 2: voc recebe uma mensagem de e-mail, dizendo que seu computador est infectado por um vrus. A mensagem sugere que voc instale uma ferramenta disponvel em um site da Internet, para eliminar o vrus de seu computador. A real funo desta ferramenta no eliminar um vrus, mas sim permitir que algum tenha acesso ao seu computador e a todos os dados nele armazenados.
Exemplo 3: voc recebe uma mensagem e-mail, onde o remetente o gerente ou o departamento de suporte do seu banco. Na mensagem ele diz que o servio de Internet Banking est apresentando algum problema e que tal problema pode ser corrigido se voc executar o aplicativo que est anexado mensagem. A execuo deste aplicativo apresenta uma tela anloga quela que voc utiliza para ter acesso a conta bancria, aguardando que voc digite sua senha. Na verdade, este aplicativo est preparado para furtar sua senha de acesso conta bancria e envi-la para o atacante. Estes casos mostram ataques tpicos de engenharia social, pois os discursos apresen-
16
tados nos exemplos procuram induzir o usurio a realizar alguma tarefa e o sucesso do ataque depende nica e exclusivamente da deciso do usurio em fornecer informaes sensveis ou executar programas.
17
6 - Vulnerabilidade
Vulnerabilidade definida como uma falha no projeto ou implementao de um software ou sistema operacional, que quando explorada por um atacante resulta na violao da segurana de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua explorao remota, ou seja, atravs da rede. Portanto, um atacante conectado Internet, ao explorar tal vulnerabilidade, pode obter acesso no autorizado ao computador vulnervel. A parte II deste trabalho (Riscos Envolvidos no Uso da Internet e Mtodos de Preveno) apresenta algumas formas de identificao de vulnerabilidades, bem como maneiras de preveno e correo.
18
7 - Vrus
Vrus um programa capaz de infectar outros programas e arquivos de um computador. Para realizar a infeco, o vrus embute uma cpia de si mesmo em um programa ou arquivo, que quando executado tambm executa o vrus, dando continuidade ao processo de infeco.
abrir arquivos anexados aos e-mails; abrir arquivos do Word, Excel, etc; abrir arquivos armazenados em outros computadores, atravs do compartilhamento
de recursos;
Novas formas de infeco por vrus podem surgir. Portanto, importante manter-se informado atravs de jornais, revistas e dos sites dos fabricantes de antivrus.
19
7.3 - Um computador pode ser infectado por um vrus sem que se perceba?
Sim. Existem vrus que procuram permanecer ocultos, infectando arquivos do disco e executando uma srie de atividades sem o conhecimento do usurio. Ainda existem outros tipos que permanecem inativos durante certos perodos, entrando em atividade em datas especficas.
20
aberto e, a partir dai, o vrus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador. Existem alguns aplicativos que possuem arquivos base (modelos) que so abertos sempre que o aplicativo executado. Caso este arquivo base seja infectado pelo vrus de macro, toda vez que o aplicativo for executado, o vrus tambm ser. Arquivos nos formatos gerados pelo Microsoft Word, Excel, Powerpoint e Access so os mais suscetveis a este tipo de vrus. Arquivos nos formatos RTF, PDF e PS so menos suscetveis, mas isso no significa que no possam conter vrus.
21
8 - Worm
Worm um programa capaz de se propagar automaticamente atravs de redes, enviando cpias de si mesmo de computador para computador. Diferente do vrus, o worm no necessita ser explicitamente executado para se propagar. Sua propagao se d atravs da explorao de vulnerabilidades existentes ou falhas na configurao de softwares instalados em computadores.
22
9 - Backdoors
Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos mtodos utilizados na realizao da invaso. Na maioria dos casos, a inteno do atacante poder retornar ao computador comprometido sem ser notado. A esses programas de retorno a um computador comprometido, utilizando-se servios criados ou modificados para este fim, d-se o nome de Backdoor.
instalao atravs de um cavalo de tria ; incluso como conseqncia da instalao e m configurao de um programa de
administrao remota;
Alguns fabricantes incluem/incluam backdoors em seus produtos (softwares, sistemas operacionais), alegando necessidades administrativas. importante ressaltar que estes casos constituem uma sria ameaa segurana de um computador que contenha
23
um destes produtos instalados, mesmo que backdoors sejam includos por fabricantes conhecidos.
24
10 - Cavalo de Tria
Conta a mitologia grega que o Cavalo de Tria foi uma grande esttua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tria. A esttua do cavalo foi recheada com soldados que, durante a noite, abriram os portes da cidade possibilitando a entrada dos gregos e a dominao de Tria. Da surgiram os termos Presente de Grego e Cavalo de Tria. Na informtica, um Cavalo de Tria (Trojan Horse) um programa que alm de executar funes para as quais foi aparentemente projetado, tambm executa outras funes normalmente maliciosas e sem o conhecimento do usurio. Algumas das funes maliciosas que podem ser executadas por um cavalo de tria so:
alterao ou destruio de arquivos; furto de senhas e outras informaes sensveis, como nmeros de cartes de crdito; incluso de backdoors, para permitir que um atacante tenha total controle sobre o
computador.
25
putador. Geralmente um cavalo de tria vem anexado a um e-mail ou est disponvel em algum site na Internet. importante ressaltar que existem programas de e-mail, que podem estar configurados para executar automaticamente arquivos anexados s mensagens. Neste caso, o simples fato de ler uma mensagem suficiente para que qualquer arquivo (executvel) anexado seja executado.
10.3 - Que exemplos podem ser citados sobre programas contendo cavalos de tria?
Exemplos comuns de cavalos de tria so programas que voc recebe ou obtm de um site e que dizem ser jogos ou protetores de tela. Enquanto esto sendo executados, este programas alm de mostrar na tela uma mensagem como Em que nvel de dificuldade voc quer jogar?, ou apresentar todas aquelas animaes tpicas de um protetor de tela, podem ao mesmo tempo apagar arquivos ou formatar o disco rgido, enviar dados confidenciais para outro computador, instalar backdoors, ou alterar informaes.
26
gerar um grande trfego de dados para uma rede, ocupando toda a banda dispon-
11.2 - Se uma rede ou computador sofrer um DoS, isto significa que houve uma invaso?
No. O objetivo de tais ataques indisponibilizar o uso de um ou mais computadores, e no invad-los. importante notar que, principalmente em casos de DDoS, computadores comprometidos podem ser utilizados para desferir os ataques de negao de servio. Um exemplo deste tipo de ataque ocorreu no incio de 2000, onde computadores de vrias partes do mundo foram utilizados para indisponibilizar o acesso aos sites de al-
27
gumas empresas de comrcio eletrnico. Estas empresas no tiveram seus computadores comprometidos, mas sim ficaram impossibilitadas de vender seus produtos durante um longo perodo.
28
SEGURANA PARA INTERNET PARTE II: RISCOS ENVOLVIDOS NO USO DA INTERNET E MTODOS DE PREVENO
RESUMO
Esta parte do trabalho aborda diversos riscos envolvidos no uso da Internet e seus mtodos de preveno. So discutidos os programas que possibilitam aumentar a segurana de um computador, como antivrus e firewalls, e apresentados riscos e medidas preventivas no uso de programas de e-mail, de troca de mensagens, de distribuio de arquivos, browsers e recursos de compartilhamento de arquivos. Tambm discutida a importncia da realizao de cpias de segurana.
29
SUMRIO
1 - Vrus .................................................................................................................................... 32 1.1 - Como posso saber se um computador est infectado? ....................................... 32 1.2 - Existe alguma maneira de proteger um computador de vrus? ........................... 32
2 - Cavalos de Tria ............................................................................................................... 33 2.1 - O que um cavalo de Tria pode fazer em um computador? ................................ 33 2.2 - Um cavalo de Tria pode instalar programas sem o conhecimento do usurio? .... 33 2.3 - possvel saber se um cavalo de Tria instalou algo em um computador? ........... 33 2.4 - Existe alguma maneira de proteger um computador dos cavalos de Tria? ..... 33
3 - Antivrus .............................................................................................................................. 35 3.1 - Que funcionalidades um bom Antivrus deve possuir? ......................................... 35 3.2 - Como fao bom uso do meu Antivrus? .................................................................. 35 3.3 - O que um Antivrus no pode fazer? ....................................................................... 36
4 Vulnerabilidades ................................................................................................................... 37 4.1 - Como posso saber se os softwares instalados em meu computador possuem alguma vulnerabilidade? .............................................................................................................. 37 4.2 - Como posso corrigir as vulnerabilidades dos softwares em meu computador?...... 38
5 - Worms ................................................................................................................................. 38 5.1 - Como posso saber se meu computador est sendo utilizado para propagar um worm? ..................................................................................................................................... 38 5.2 - Como posso proteger um computador de worms? ................................................ 38
6 - Backdoors ........................................................................................................................... 39 6.1 - Existe alguma maneira de proteger um computador de backdoors? ................. 39
30
7.2 - Por que devo instalar um firewall pessoal em meu computador? ....................... 40 7.3 - Como posso saber se esto tentando invadir meu computador? ....................... 41
8 - Programas de E-Mail ........................................................................................................ 42 8.1 - Quais so os riscos associados ao uso de um programa de e-mail? ................ 42 8.2 - possvel configurar um programa de e-mail de forma mais segura?.............. 42 8.3 - Que medidas preventivas devo adotar no uso dos programas de e-mail? ....... 42
9 - Browsers ............................................................................................................................. 44 9.1 - Quais so os riscos associados ao uso de um browser?..................................... 44 9.2 - Quais so os riscos associados execuo de Javascripts e de programas Java? ... 44 9.3 - Quais so os riscos associados execuo ao de programas ActiveX? .......... 44 9.4 - Quais so os riscos associados ao uso de cookies? ............................................ 45 9.5 - Quais so os cuidados necessrio para realizar transaes via Web? ............. 45 9.6 - Que medidas preventivas devo adotar no uso de browsers?.............................. 45
10 - Programas de Troca de Mensagens ............................................................................ 47 10.1 - Quais so os riscos associados ao uso de salas de bate-papo e de programas como o ICQ ou IRC? ............................................................................................................ 47 10.2 - Existem problemas de segurana especficos no uso de programas de troca instantnea de mensagens?.................................................................................................... 47 10.3 - Que medidas preventivas devo adotar no uso de programas de troca de mensagens? ...................................................................................................................................... 47
11 - Programas de Distribuio de Arquivos ...................................................................... 49 11.1 - Quais so os riscos associados ao uso de programas de distribuio de arquivos? ................................................................................................................... 49 11.2 - Que medidas preventivas devo adotar no uso de programas de distribuio de arquivos? ............................................................................................................................... 49
12 - Compartilhamento de Recursos do Windows ............................................................. 50 12.1 - Quais so os riscos associados ao uso do compartilhamento de recursos? . 50 12.2 - Que medidas preventivas devo adotar no uso do compartilhamento de recursos?... 50
31
13 - Realizao de Cpias de Segurana (Backups) ........................................................ 52 13.1 - Qual a importncia de fazer cpias de segurana?......................................... 52 13.2 - Quais so as formas de realizar cpias de segurana?..................................... 52 13.3 - Com que freqncia devo fazer cpias de segurana? ..................................... 52 13.4 - Que cuidados devo ter com as cpias de segurana? ....................................... 52
32
instalar e manter atualizado um bom programa antivrus; desabilitar no seu programa de e-mail a auto-execuo de arquivos anexados s
mensagens;
no executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pes-
soas conhecidas, mas caso seja inevitvel, certifique-se que o arquivo foi verificado pelo programa antivrus;
cida e mesmo que voc conhea a procedncia e queira abr-los ou execut-los, certifique-se que foram verificados pelo programa antivrus;
33
veja e copie todos os arquivos armazenados no computador; descubra todas as senhas digitadas pelo usurio; formate o disco rgido do computador, etc.
34
melhantes s medidas contra a infeco por vrus e esto listadas na seo 1.2. Uma outra medida preventiva utilizar um firewall pessoal. Alguns firewalls podem bloquear o recebimento de cavalos de tria (vide seo 7).
35
3 - Antivrus
Os antivrus so programas que procuram detectar e, ento, anular ou remover os vrus de computador. Atualmente, novas funcionalidades tm sido adicionadas aos programas antivrus, de modo que alguns procuram detectar e remover cavalos de tria , barrar programas hostis e verificar e-mails.
identificar e eliminar a maior quantidade possvel de vrus; analisar os arquivos que esto sendo obtidos pela Internet; verificar continuamente os discos rgidos (HDs), flexveis (disquetes) e CDs de
procurar vrus e cavalos de tria em arquivos anexados aos e-mails; criar, sempre que possvel, um disquete de verificao (disquete de boot) que pos-
sa ser utilizado caso o vrus desative o antivrus que est instalado no computador;
Alguns antivrus, alm das funcionalidades acima, permitem verificar e-mails enviados, podendo detectar e barrar a propagao por e-mail de vrus e worms.
mantenha-o sempre atualizado; configure-o para verificar automaticamente arquivos anexados aos e-mails e ar-
36
extenso de arquivo);
seu computador estiver apresentando um comportamento anormal (mais lento, gravando ou lendo o disco rgido fora de hora, etc.);
Algumas verses de antivrus so gratuitas para uso pessoal e podem ser obtidas pela Internet. Mas antes de obter um antivrus pela Internet, verifique sua procedncia e certifique-se que o fabricante confivel.
37
4 - Vulnerabilidades 4.1 - Como posso saber se os softwares instalados em meu computador possuem alguma vulnerabilidade?
Existem sites na Internet que mantm listas atualizadas de vulnerabilidades em softwares e sistemas operacionais. Alguns destes sites so http://www.cert.org/ e http:// cve.mitre.org/. Alm disso, fabricantes tambm costumam manter pginas na Internet com consideraes a respeito de possveis vulnerabilidades em seus softwares. Portanto, a idia estar sempre atento aos sites especializados em acompanhar vulnerabilidades, aos sites dos fabricantes, s revistas especializadas e aos cadernos de informtica dos jornais, para verificar a existncia de vulnerabilidades no sistema operacional e nos softwares instalados em seu computador.
38
5 - Worms 5.1 - Como posso saber se meu computador est sendo utilizado para propagar um worm?
Detectar a presena de um worm em um computador no uma tarefa fcil. Muitas vezes os worms realizam uma srie de atividades, incluindo sua propagao, sem que o usurio tenha conhecimento. Embora alguns programas antivrus permitam detectar a presena de worms e at mesmo evitar que eles se propaguem, isto nem sempre possvel. Portanto, o melhor evitar que seu computador seja utilizado para propag-los (vide seo 5.2).
39
40
7 - Firewalls
Os firewalls so dispositivos constitudos pela combinao de software e hardware, utilizados para dividir e controlar o acesso entre redes de computadores. O firewall pessoal um software ou programa utilizado para proteger um computador contra acessos no autorizados vindos da Internet, e constitui um tipo especifico de firewall.
41
42
importante ressaltar que se o usurio seguir as recomendaes dos itens 1 e 2, mas ainda assim abrir os arquivos ou executar manualmente os programas que vm anexados aos e-mails, poder ter algum problema que resulte na violao da segurana do seu computador.
8.3 - Que medidas preventivas devo adotar no uso dos programas de e-mail?
Algumas medidas preventivas que minimizam os problemas trazidos com os e-mails so:
43
manter sempre a verso mais atualizada do seu programa de e-mail; evitar abrir arquivos ou executar programas anexados aos e-mails, sem antes
desconfiar sempre dos arquivos anexados mensagem, mesmo que tenham sido
enviados por pessoas ou instituies conhecidas. O endereo do remetente pode ter sido forjado e o arquivo anexo pode ser, por exemplo, um vrus ou um cavalo de tria;
Existem vrus que utilizam o e-mail como meio para sua replicao e quase sempre forjam o endereo do remetente. Ento desconfie de e-mails pedindo urgncia na instalao de algum aplicativo ou correes de determinados defeitos dos softwares que voc utilize. Caso isto ocorra, entre em contato com os distribuidores destes softwares para certificar-se sobre a veracidade do fato.
44
execuo de Javascript ou de programas Java hostis; execuo de programas ou controles ActiveX hostis; obteno e execuo de programas hostis em sites no confiveis; realizao de transaes comerciais ou bancrias via Web, sem qualquer meca-
nismo de segurana.
Nos dois primeiros casos o browser executa os programas automaticamente, ou seja, sem a interferncia do usurio.
45
de um esquema de certificados digitais . Ao serem executados, os programas ActiveX podem fazer de tudo, desde enviar um arquivo qualquer pela Internet, at instalar programas (que podem ter fins maliciosos) em seu computador.
manter o seu browser sempre atualizado; desativar a execuo de programas Java na configurao de seu browser. Se for
absolutamente necessrio o Java estar ativado para que as pginas de um site possam ser vistas, basta ativ-lo antes de entrar no site e, ento, desativ-lo ao sair;
46
da e, ento, ativ-lo ao sair. Caso voc opte por desativar a execuo de Javascripts na configurao de seu browser, provvel que muitas pginas Web no possam ser visualizadas;
manter maior controle sobre o uso de cookies, caso voc queira ter maior privaci-
Os programas Java no so utilizados na maioria das pginas Web e, quando utilizados, a desativao de sua execuo no costuma comprometer a visualizao da pginas.
47
10 - Programas de Troca de Mensagens 10.1 - Quais so os riscos associados ao uso de salas de bate-papo e de programas como o ICQ ou IRC?
Os maiores riscos associados ao uso destes programas esto no contedo dos prprios dilogos. Algum pode utilizar tcnicas de engenharia social para obter informaes (muitas vezes sensveis) dos usurios destes programas. Voc pode ser persuadido a entregar seu e-mail, telefone, endereo, senhas (como a de acesso ao seu provedor), nmero do carto de crdito, em uma conversa amigvel. As conseqncias podem ser desde o recebimento de mensagens com contedo falso/alarmante ou mensagens no solicitadas contendo propagandas, at a utilizao da sua conta para realizar atividades ilcitas ou a utilizao de seu nmero de carto de crdito para fazer compras em seu nome. Alm disso, estes programas podem fornecer o seu endereo na Internet (endereo IP 3 ). Um atacante pode usar esta informao para, por exemplo, tentar explorar uma possvel vulnerabilidade em seu computador.
10.2 - Existem problemas de segurana especficos no uso de programas de troca instantnea de mensagens?
Sim. Programas, tais como o ICQ, AOL Instant Messenger e Yahoo! Messenger ficam constantemente conectados a um servidor (seno no teriam como saber quem est no ar) e, como esto conectados, podem ser alvos de ataques. Lembre-se que qualquer programa que utilize a Internet para prestar algum servio (como neste caso troca de mensagens) pode possuir alguma vulnerabilidade e ficar sujeito a ataques externos.
10.3 - Que medidas preventivas devo adotar no uso de programas de troca de mensagens?
48
manter seu programa de troca de mensagens sempre atualizado, para evitar que
putadores;
conhecer;
49
11 - Programas de Distribuio de Arquivos 11.1 - Quais so os riscos associados ao uso de programas de distribuio de arquivos?
Existem diversos riscos envolvidos na utilizao de programas de distribuio de arquivos, tais como o Kaaza, Morpheus, Edonkey e Gnutella. Dentre estes riscos, podem-se citar: Acesso no autorizado: o programa de distribuio de arquivos pode permitir o acesso no autorizado ao computador, caso esteja mal configurado ou possua alguma vulnerabilidade; Softwares ou arquivos maliciosos: os softwares ou arquivos distribudos podem ter finalidades maliciosas. Podem, por exemplo, conter vrus, ser um cavalo de tria, ou instalar backdoors em um computador; Violao de direitos autorais (Copyright): a distribuio no autorizada de arquivos de msica, filmes, textos ou programas protegidos pela lei de direitos autorais constitui a violao desta lei.
11.2 - Que medidas preventivas devo adotar no uso de programas de distribuio de arquivos?
Algumas medidas preventivas para o uso de programas de distribuio de arquivos so :
gurado;
para verificar qualquer arquivo obtido, pois eles podem conter vrus ou cavalos de tria ;
50
12 - Compartilhamento de Recursos do Windows 12.1 - Quais so os riscos associados ao uso do compartilhamento de recursos?
Um recurso compartilhado aparece no Explorer do Windows como uma mozinha segurando a parte de baixo do cone (pasta, impressora ou disco). Alguns dos riscos envolvidos na utilizao de recursos compartilhados por terceiros so:
abrir arquivos ou executar programas que contenham vrus; executar programas que sejam cavalos de tria.
permitir o acesso no autorizado a recursos ou informaes sensveis; permitir que um atacante possa utilizar tais recursos, sem quaisquer restries,
para verificar qualquer arquivo ou programa compartilhado, pois eles podem conter vrus ou cavalos de tria;
rio compartilhar recursos do seu computador. Procure elaborar senhas fceis de lembrar e difceis de serem descobertas.
51
importante ressaltar que voc deve sempre utilizar senhas para os recursos que deseje compartilhar, principalmente os que esto habilitados para leitura e escrita. E, quando possvel, no compartilhe recursos ou no deixe-os compartilhados por muito tempo.
52
13 - Realizao de Cpias de Segurana (Backups) 13.1 - Qual a importncincia de fazer cpias de segurana?
Cpias de segurana dos dados armazenados em um computador so importantes, no s para se recuperar de eventuais falhas, mas tambm das conseqncias de uma possvel infeco por vrus, ou de uma invaso.
53
Os cuidados com cpias de segurana dependem das necessidades do usurio. O usurio deve procurar responder algumas perguntas antes de adotar um ou mais cuidados com suas cpias de segurana:
cpias de segurana?
Baseado nas respostas para as perguntas anteriores, um usurio deve atribuir maior ou menor importncia a cada um dos cuidados discutidos abaixo: Escolha dos dados: cpias de segurana devem conter apenas arquivos confiveis do usurio, ou seja, que no contenham vrus ou sejam cavalos de tria. Arquivos do sistema operacional e que faam parte da instalao dos softwares de um computador no devem fazer parte das cpias de segurana. Eles pode ter sido modificados ou substitudos por verses maliciosas, que quando restauradas podem trazer uma srie de problemas de segurana para um computador. O sistema operacional e os softwares de um computador podem ser reinstalados de mdias confiveis, fornecidas por fabricantes confiveis. Mdia utilizada: a escolha da mdia para a realizao da cpia de segurana extremamente importante e depende da importncia e da vida til que a cpia deve ter. A utilizao de alguns disquetes para armazenar um pequeno volume de dados que esto sendo modificados constantemente perfeitamente vivel. Mas um grande volume de dados, de maior importncia, que deve perdurar por longos perodos, deve ser armazenado em mdias mais confiveis, como por exemplo os CDs; Local de armazenamento: cpias de segurana devem ser guardadas em um local condicionado (longe de muito frio ou muito calor) e restrito, de modo que apenas pessoas autorizadas tenham acesso a este local (segurana fsica); Cpia em outro local: cpias de segurana podem ser guardadas em locais diferentes. Um exemplo seria manter uma cpia em casa e outra no escritrio. Tambm existem empresas especializadas em manter reas de armazenamento com cpias de segurana de seus clientes. Nestes casos muito importante considerar a segurana fsica de
54
suas cpias, como discutido no item anterior; Criptografia dos dados: os dados armazenados em uma cpia de segurana podem conter informaes sigilosas. Neste caso, os dados que contenham informaes sigilosas devem ser armazenados em algum formato criptografado.
55
RESUMO
Esta parte do trabalho discute questes relacionadas privacidade do usurio ao utilizar a Internet. apresentado o conceito de criptografia, onde so discutidos os mtodos de criptografia por chave nica, por chaves pblica e privada e as assinaturas digitais. Tambm so abordados temas relacionados privacidade dos e-mails, a privacidade no acesso e disponibilizao de pginas Web, bem como alguns cuidados que o usurio deve ter com seus dados pessoais e ao armazenar dados em um disco rgido.
56
SUMRIO
1 - Criptografia ........................................................................................................................ 57 1.1 - O que criptografia de chave nica? ..................................................................... 57 1.2 - O que criptografia de chaves pblica e privada? ............................................... 58 1.3 - O que assinatura digital? ....................................................................................... 58 1.4 - Que exemplos podem ser citados sobre o uso de criptografia de chave nica e de chaves pblica e privada? .................................................................................................. 59 1.5 - Que tamanho de chave deve ser utilizado? ........................................................... 60
2 - Privacidade dos E-Mails .................................................................................................. 61 2.1 - passvel algum ler e-mails de outro usurio? ................................................. 61 2.2 - Como possvel assegurar a privacidade dos e-mails? ..................................... 61 2.3 - A utilizao de programas de criptografia suficiente para assegurar a privacidade dos e-mails? ....................................................................................................................... 62
3 - Privacidade no Acesso e Disponibilizao de Pginas Web ..................................... 63 3.1 - Que cuidados devo ter ao acessar pginas Web e ao receber Cookies? ........ 63 3.2 - Que cuidados devo ter ao disponibilizar um pgina na Internet, como por exemplo um blog? ............................................................................................................................. 64
5 - Cuidados com os Dados Armazenados em um disco rgido ..................................... 66 5.1 - Como posso sobrescrever todos os dados de um disco rgido .......................... 66
57
1 - Criptografia
a cincia e arte de escrever mensagens em forma cifrada ou em cdigo. parte de um campo de estudos que trata das comunicaes secretas, usadas, dentre outras finalidades, para:
autenticar a identidade de usurio; autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerci-
ais e bancrias;
Uma mensagem codificada por um mtodo de criptografia deve ser privada, ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso ao contedo da mensagem. Alm disso, uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o remetente mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada. Os mtodos de criptografia atuais so seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave uma seqncia de caracteres, que pode conter letras, dgitos e smbolos (como uma senha), e que convertida em um nmero, utilizado pelos mtodos de criptografia para codificar e decodificar mensagens. Atualmente, os mtodos criptogrficos podem sem subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave nica (vide seo 1.1) e a criptografia de chave pblica e privada (vide seo 1.2).
58
Exemplos de utilizao deste mtodo de criptografia e sugestes para o tamanho mnimo da chave nica podem ser vistos nas sees 1.4 e 1.5, respectivamente.
59
chave privada, de modo que a pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. Desta forma, utilizado o mtodo de criptografia de chaves pblica e privada, mas em um processo inverso ao apresentado no exemplo da seco 1.2. Se Jos quiser enviar uma mensagem assinada para Maria, ele ir codificar a mensagem com sua chave privada. Neste processo ser gerada uma assinatura digital, que ser adicionada mensagem enviada para Maria. Ao receber a mensagem, Maria ir utilizar a chave pblica de Jos para decodificar a mensagem. Neste processo ser gerada uma segunda assinatura digital, que ser comparada primeira. Se as assinaturas forem idnticas, Maria ter certeza que o remetente da mensagem foi o Jos e que a mensagem no foi modificada. importante ressaltar que a segurana do mtodo baseia-se no fato de que a chave privada conhecida apenas pelo seu dono. Tambm importante ressaltar que o fato de assinar uma mensagem no significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu contedo, seria preciso codific-la com a chave pblica de Maria, depois de assin-la.
1.4 - Que exemplos podem ser citados sobre o uso de criptografia de chave nica e de chaves pblica e privada?
Exemplos que combinam a utilizao dos mtodos de criptografia de chave nica e de chaves pblica e privada so as conexes seguras, estabelecidas entre o browser de um usurio e um site, em transaes comercias ou bancrias via Web. Estas conexes seguras via Web utilizam o mtodo de criptografia de chave nica, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usurio precisa informar ao site qual ser a chave nica utilizada na conexo segura, antes de iniciar a transmisso de dados sigilosos. Para isto, o browser obtm a chave pblica do certificado da instituio que mantm o site. Ento, ele utiliza esta chave pblica para codificar e enviar uma mensagem para o site, contendo a chave nica a ser utilizada na conexo segura. O site utiliza sua chave
60
privada para decodificar a mensagem e identificar a chave nica que ser utilizada. A partir deste ponto, o browser do usurio e o site podem transmitir informaes, de forma sigilosa e segura, atravs da utilizao do mtodo de criptografia de chave nica. A chave nica pode ser trocada em intervalos de tempo determinados, atravs da repetio dos procedimentos descritos anteriormente, aumentando assim o nvel de segurana de todo o processo.
61
62
2.3 - A utilizao de programas de criptografia suficiente para assegurar a privacidade dos e-mails?
Os programas de criptografia so utilizados, dentre outras finalidades, para decodificar mensagens criptografadas, recebidas por um usurio, no momento em que este desejar l-las. Ao utilizar um programa de criptografia para decodificar uma mensagem, possvel que o programa de e-mail permita salvar a mensagem no formato decodificado, ou seja, em texto claro. No caso da utilizao de programas de e-mail com esta caracterstica, a privacidade do contedo da mensagem garantida durante a transmisso da mensagem, mas no necessariamente no seu armazenamento. Normalmente existe um consenso tico entre administradores de redes e provedores de nunca lerem a caixa postal de um usurio sem o seu consentimento. Portanto, extremamente importante o usurio estar atento para este fato, e tambm certificar-se sobre o modo como suas mensagens esto sendo armazenadas. Como uma mensagem pode ser decodificada sempre que o usurio desejar l-la, aconselhvel que ela seja armazenada de forma criptografada e no em texto claro.
63
3.1 - Que cuidados devo ter ao acessar pginas Web e ao receber Cookies?
Cookies so muito utilizados para rastrear e manter as preferncias de um usurio ao navegar pela Internet. Estas preferncias podem ser compartilhadas entre diversos sites na Internet, afetando assim a privacidade de um usurio. No incomum acessar pela primeira vez um site de msica, por exemplo, e observar que todas as ofertas de CDs para o seu gnero musical preferido j esto disponveis, sem que voc tenha feito qualquer tipo de escolha. Alm disso, ao acessar uma pgina na Internet, o seu browser disponibiliza uma srie de informaes, de modo que os cookies podem ser utilizados para manter referncias contendo informaes de seu computador, como o hardware, o sistema operacional, softwares instalados e, em alguns casos, at o seu endereo de e-mail. Estas informaes podem ser utilizadas por algum mal intencionado, por exemplo, para tentar explorar uma possvel vulnerabilidade em seu computador. Portanto, aconselhvel que voc desabilite o recebimento de cookies, exceto para sites confiveis, onde sejam realmente incesrios. As verses recentes dos browsers normalmente permitem que o usurio desabilite o recebimento, confirme se quer ou no receber e at mesmo visualize o contedo dos cookies. Tambm existem softwares que permitem controlar o recebimento e envio de informaes entre um browser e os sites visitados. Dentre outras funes, estes podem permitir que cookies sejam recebidos apenas de sites especficos. Uma outra forma de manter sua privacidade ao acessar pginas na Internet utilizar sites que permitem que voc fique annimo. Estes so conhecidos como anonymizers e intermediam o envio e recebimento de informaes entre o seu browser e o site que
64
se deseja visitar. Neste caso, importante ressaltar que voc deve certificar-se que o anonymizer confivel. Alm disso, voc no deve utilizar este servio para realizar transaes via Web.
3.2 - Que cuidados devo ter ao disponibilizar um pgina na Internet, como por exemplo um blog?
Um usurio, ao disponibilizar uma pgina na Internet, precisa ter alguns cuidados, visando proteger os dados contidos em sua pgina. Um tipo especfico de pgina Web que vem sendo muito utilizado por usurios de Internet o blog. Este servio usado para manter um registro freqente de informaes, e tem como principal vantagem permitir que o usurio publique seu contedo sem necessitar de conhecimento tcnico sobre a construo de pginas na Internet. Apesar de terem diversas finalidades, os blogs tm sido muito utilizados como dirios pessoais. Em seu blog, um usurio poderia disponibilizar informaes , tais como:
seus dados pessoais (e-mail, telefone, endereo, etc); dados sobre o seu computador (dizendo, por exemplo, . . . comprei um computa-
dados sobre os softwares que utiliza (dizendo, por exemplo, . . . instalei o progra-
informaes sobre o seu cotidiano (como, por exemplo, hora que saiu e voltou
para casa, data de uma viagem programada, horrio que foi ao caixa eletrnico, etc);
extremamente importante estar atento e avaliar com cuidado que informaes sero disponibilizados em uma pgina Web. Estas informaes podem no s ser utilizadas por algum mal-intencionado, por exemplo, em um ataque de engenharia social, mas tambm para atentar contra a segurana de um computador, ou at mesmo contra a segurana fsica do prprio usurio.
65
66
67
mento do disco. importante ressaltar que preciso repetir algumas vezes a operao de sobrescrever os dados de um disco rgido, para assegurar que informaes anteriormente armazenadas no possam ser recuperadas. Existem softwares gratuitos e comerciais que permitem sobrescrever dados de um disco rgido e que podem ser executados em diversos sistemas operacionais, como o Windows (95/98, 2000, etc), Unix (Linux, FreeBSD, etc) e Mac OS.
68
RESUMO
Esta parte do trabalho aborda questes relacionadas fraudes na Internet. So apresentadas algumas maneiras de preveno contra ataques de engenharia social, situaes envolvendo fraudes comerciais e bancrias via Internet, bem como medidas preventivas que um usurio deve adotar ao acessar sites de comrcio eletrnico ou Internet Banking. Tambm apresentado o conceito de boato (hoax) e so discutidas algumas implicaes de segurana e formas para se evitar sua distribuio.
69
SUMRIO
1 - Engenharia Social ............................................................................................................. 70 1.1 - Como me protejo deste tipo de abordagem? ......................................................... 70
2 - Fraudes em Comrcio Eletrnico e Internet Banking .................................................. 71 2.1 - Que situaes podem ser citadas sobre fraudes envolvendo comrcio eletrnico ou Internet Banking? .............................................................................................................. 71 2.2 - Quais so os cuidados que devo ter ao acessar sites de comrcio eletrnico ou Internet Banking? .................................................................................................................... 73 2.3 - Como verificar se a conexo criptografada? ....................................................... 74 2.4 - Como posso saber se o site que estou acessando no foi falsificado? ............ 75 2.5 - Como posso saber se o certificado emitido para o site legtimo ..................... 75
3 - Boatos ................................................................................................................................. 77 3.1 - Quais so os problemas de segurana relacionados aos boatos? .................... 77 3.2 - Como evitar a distribuio dos boatos? .................................................................. 78 3.3 - Como posso saber se um e-mail um boato? ....................................................... 78
70
1 - Engenharia Social
Nos ataques de engenharia social normalmente o atacante frauda a sua identidade, se fazendo passar por outra pessoa, e utiliza meios como uma ligao telefnica ou e-mail, para persuadir o usurio a fornecer informaes ou realizar determinadas aes, como por exemplo executar um programa, acessar a pgina de Internet Banking atravs de um link em um e-mail ou em uma pgina, etc. Exemplos especficos destes ataques, envolvendo fraudes em comrcio eletrnico e Internet Banking, so abordados na seo 2.1.
71
2.1 - Que situaes podem ser citadas sobre fraudes envolvendo comrcio eletrnico ou Internet Banking?
Existem diversas situaes que vm sendo utilizadas por atacantes em fraudes envolvendo o comrcio eletrnico e Internet Banking. A maior parte das situaes apresentadas abaixo, com exceo das situaes 3 e 5, envolvem tcnicas de engenharia social. Situao 1: o usurio recebe um e-mail ou ligao telefnica, de um suposto funcionrio da instituio que mantm o site de comrcio eletrnico ou de um banco. Neste e-mail ou ligao telefnica o usurio persuadido a fornecer informaes sensveis, como senhas de acesso ou nmero de cartes de crdito. Situao 2: o usurio recebe um e-mail, cujo remetente pode ser um suposto funcionrio, gerente, ou at mesmo uma pessoa conhecida, sendo que este e-mail contm um programa anexado. A mensagem, ento , solicita que o usurio execute o programa para, por exemplo, obter acesso mais rpido a um site de comrcio eletrnico ou ter acesso a informaes mais detalhadas em sua conta bancria. Estes programas normalmente so cavalos de tria, especificamente projetados para monitorar as aes do usurio nos acessos a sites de comrcio eletrnico ou Internet Banking, e tm como principal objetivo capturar e enviar senhas ou nmero de cartes de crdito para um atacante. Para realizar o monitoramento, um programa deste tipo pode utilizar diversas formas. Dentre elas, podem-se citar:
72
Teclas digitadas: um programa pode capturar e armazenar todas as teclas digitadas pelo usurio, em particular, aquelas digitadas logo aps a entrada em um site de comrcio eletrnico ou de Internet Banking. Deste modo, o programa pode armazenar e enviar informaes sensveis (como senhas de acesso ao banco ou nmero de cartes de crdito) para um atacante; Posio do cursor e tela: alguns sites de Internet Banking tm fornecido um teclado virtual, para evitar que seus usurios utilizem o teclado convencional e, assim, aumentar o nvel de segurana na realizao transaes bancrias via Web. O fato que um programa pode armazenar a posio do cursor e a tela apresentada no monitor, nos momentos em que o mouse foi clicado. Estas informaes permitem que um atacante, por exemplo, saiba qual foi a senha de acesso ao banco utilizada pelo usurio; Webcam: um programa pode controlar a Webcam do usurio, direcionando-a para o teclado, no momento em que o usurio estiver acessando um site de comrcio eletrnico ou de Internet Banking. Deste modo, as imagens coletadas (incluindo aquelas que contm a digitao de senhas ou nmero de cartes de crdito) podem ser enviadas para um atacante. Situao 3: um atacante compromete o servidor de nomes do provedor do usurio, de modo que todos os acessos a um site de comrcio eletrnico ou Internet Banking so redirecionados para uma pgina Web falsificada, semelhante ao site verdadeiro. Neste caso, um atacante pode monitorar todas as aes do usurio, incluindo, por exemplo, a digitao de sua senha bancrias ou do nmero de seu carto de crdito. importante ressaltar que nesta situao normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro) e o endereo mostrado no browser do usurio poder ser diferente do endereo correspondente ao site verdadeiro; Situao 4: o usurio pode ser persuadido a acessar um site de comrcio eletrnico ou de Internet Banking, atravs de um link recebido por e-mail ou em uma pgina de terceiros. Este link pode direcionar o usurio para uma pgina Web falsificada, semelhante ao site que o usurio realmente deseja acessar. A partir da, um atacante pode monitorar todas as aes do usurio, incluindo, por exemplo, a digitao de sua senha bancrias ou do nmero de seu carto de crdito. Tambm importante ressaltar que nesta situao normalmente o usurio deve aceitar um novo certificado (que no corresponde ao site verdadeiro) e o endereo mostrado no browser do usurio ser diferente do endereo correspondente ao site verdadeiro;
73
Situao 5: o usurio, ao utilizar computadores de terceiros para acessar sites de comrcio eletrnico ou de Internet Banking, pode ter todas as suas aes monitoradas (incluindo a digitao de senhas ou nmero de carto de crdito), atravs de programas especificamente projetados para este fim (como visto na situao 2). Apesar de existirem todas estas situao de risco, tambm existem alguns cuidados, relativamente simples, que podem e devem ser seguidos pelos usurio ao acessarem sites de comrcio eletrnico e Internet Banking, de modo a evitar que fraudadores utilizem seus dados (principalmente dados sensveis).
2.2 - Quais so os cuidados que devo ter ao acessar sites de comrcio eletrnico ou Internet Banking?
Existem diversos cuidados que um usurio deve ter ao acessar sites de comrcio eletrnico ou Internet Banking. Dentre eles, podem-se citar:
estar atento e prevenir-se dos ataques de engenharia social (como visto na seo 1.1); realizar transaes somente em sites de instituies que voc considere confiveis; certificar-se de que o endereo apresentado em seu browser corresponde ao site
certificar-se que o site faz uso de conexo segura, ou seja, que os dados transmi-
tidos entre seu browser e o site sero criptografados e utiliza um tamanho de chave considerado seguro (vide seo 2.3);
verificar o certificado do site, para assegurar-se que ele foi emitido para a institui-
o que se deseja acessar e est dentro do prazo de validade (vide seo 2.5);
dores de terceiros;
desligar sua Webcam (caso voc possua alguma), ao acessar um site de comr-
74
Alm dos cuidados apresentados anteriormente muito importante que voc tenha alguns cuidados adicionais, tais como:
manter o seu browser sempre atualizado e com todas as correes (patches) apli-
cadas;
automaticamente;
Com estes cuidados adicionais voc pode evitar que seu browser contenha alguma vulnerabilidade, e que programas maliciosos (como os cavalos de tria) sejam instalados em seu computador para, dentre outras finalidades, fraudar seus acessos a sites de comrcio eletrnico ou Internet Banking.
75
es a serem transmitidas entre seu browser e o site de no mnimo 128 bits. Chaves menores podem comprometer a segurana dos dados a serem transmitidos.
2.4 - Como posso saber se o site que estou acessando no foi falsificado?
Existem alguns cuidados que um usurio deve ter para certificar-se que um site no foi falsificado. O primeiro cuidado checar se o endereo digitado permanece inalterado no momento em que o contedo do site apresentado no browser do usurio. Existem algumas situaes, como visto na seo 2.1, onde o acesso a um site pode ser redirecionado para uma pgina falsificada, mas normalmente nestes casos o endereo apresentado pelo browser diferente daquele que o usurio quer realmente acessar. E um outro cuidado muito importante verificar as informaes contidas no certificado emitido para a instituio que mantm o site. Estas informaes podem dizer se o certificado ou no legtimo e, conseqentemente, se o site ou no falsificado (vide seo 2.5).
76
This Certificate is valid from Thu Sep 05, 2002 to Sat Sep 06, 2003 Certificate Fingerprint: 92:48:09:A1:70:7A:AF:E1:30:55:EC:15:A3:0C:09:F0
O usurio deve, ento, verificar se o certificado foi emitido para o site da instituio que ele deseja acessar. As seguintes informaes devem ser checadas:
Ao entrar em um site seguro pela primeira vez, seu browser ir apresentar uma janela pedindo para confirmar o recebimento de um novo certificado. Ento, verifique se os dados do certificado correspondem instituio que voc realmente deseja acessar e se seu browser reconheceu a autoridade certificadora que emitiu o certificado. Se ao entrar em um site seguro, que voc utilize com freqncia, seu browser apresentar uma janela pedindo para confirmar o recebimento de um novo certificado, fique atento. Uma situaes possvel seria que a validade do certificado do site tenha vencido, ou o certificado tenha sido revogado por outros motivos, e um novo certificado foi emitido para o site. Mas isto tambm pode significar que voc est recebendo um certificado ilegtimo e, portanto, estar acessando um site falsificado. Uma dica para reconhecer esta situao que alm das informaes contidas no certificado normalmente no corresponderem instituio que voc realmente deseja acessar, seu browser possivelmente ir informar que a Autoridade Certificadora que emitiu o certificado para o site no pde ser reconhecida. De qualquer modo, caso voc receba um novo certificado ao acessar um site e tenha alguma dvida ou desconfiana, no envie qualquer informao para o site antes de entrar em contato com a instituio que o mantm, para esclarecer o ocorrido.
77
3 - Boatos
Boatos (Hoaxes) so e-mails que possuem contedos alarmantes ou falsos, e que geralmente tm como remetente ou apontam com autor da mensagem alguma instituio, empresa importante ou rgo governamental. Atravs de uma leitura minuciosa deste tipo de e-mail, normalmente possvel identificar em seu contedo mensagens absurdas e muitas vezes sem sentido. Dentre os diversos boatos tpicos, que chegam s caixas postais de usurio conectados Internet, podem-se citar:
correntes ou pirmides; pessoas ou crianas que esto prestes a morrer de cncer; a Repblica Federativa de algum pas oferecendo elevadas quantias em dinheiro
e pedindo a confirmao do usurio ou, at mesmo, solicitando algum dinheiro para efetuar a transferncia.
Histrias deste tipo so criadas no s para espalhar desinformao pela Internet, mas tambm para outros fins maliciosos.
78
Alm disso, e-mails de boatos podem conter vrus ou cavalos de tria anexados. importante ressaltar que um boato tambm pode comprometer a credibilidade e a reputao tanto da pessoa ou entidade referenciada como suposta criadora do boato, quanto daqueles que o repassam.
confiam no remetente da mensagem; no verificam a procedncia da mensagem; no checam a veracidade do contedo da mensagem.
Para que voc possa evitar a distribuio de boatos muito importante checar a procedncia dos e-mails, e mesmo que tenham como remetente algum conhecido, preciso certificar-se que a mensagem no um boato (veja seo 3.3). importante ressaltar que voc nunca deve repassar este tipo de mensagem, pois estar endossando ou concordando com o seu contedo.
79
SEGURANA PARA INTERNET PARTE V: REDES DE BANDA LARGA E REDES SEM FIO (WIRELESS)
RESUMO
Esta parte deste trabalho discute implicaes de segurana peculiares aos servios de banda larga e wireless. Tambm apresenta algumas recomendaes para que usurios destes servios possam atualiz-los de forma mais segura.
80
SUMRIO
1 - Servios de Banda Larga ................................................................................................ 81 1.1 - Quais so os riscos do uso de banda larga? ......................................................... 81 1.2 - Por que um atacante teria maior interesse por um computador com banda larga? ..... 81 1.3 - O que fazer para proteger um computador conectado por banda larga? ......... 82 1.4 - O que fazer para proteger uma rede conectada por banda larga? .................... 83
2 - Redes Wireless ................................................................................................................. 84 2.1 - Quais so os riscos do uso de redes wireless? .................................................... 84 2.2 - Que cuidados devo ter com um cliente wireless? ................................................. 84 2.3 - Que cuidados devo ter ao montar uma rede wireless domstica? ..................... 85
81
os longos perodos que o computador fica ligado Internet; a pouca freqncia urgncia com que o endereo IP do computador muda ou, em
1.2 - Por que um atacante teria maior interesse por um computador com banda larga?
Geralmente um computador conectado atravs de banda larga possui boa velocidade de conexo e fica por longos perodos ligados Internet, mas no possui os mesmos mecanismos de segurana que servidores. Isto os torna alvos mais fceis para os atacantes. Alm disso, estes computadores podem ser usados para diversos propsitos, como por exemplo:
82
ponvel. Diversas mquinas comprometidas podem tambm ser combinadas de modo a criar um ataque de negao de servio distribudo. Maiores informaes sobre ataque de negao de servio;
usar a mquina comprometida como ponto de partida para atacar outras redes,
furtar informaes tais como nmero de carto de crdito, senhas, etc; usar recursos do computador. Por exemplo, o invasor pode usar o espao dispon-
vel em seu disco rgido para armazenar programas copiados ilegalmente, msica, imagens, etc. O invasor tambm pode usar a CPU disponvel, para por exemplo, quebrar senhas de sistemas comprometidos;
gramas que podem estar instalados no seu computador, tais como AnalogX e WinGate,e que podem estar mal configurados.
1.3 - O que fazer para proteger um computador conectado por banda larga?
recomendvel que o usurio de servios de banda larga tome os seguintes cuidados com o seu computador:
instalar um firewall pessoal e ficar atento aos registros de eventos (logs) gerados
instalar um bom antivrus e atualiz-lo freqntemente; manter o seu software (sistema operacional, programas que utiliza, etc) sempre
desligar o compartilhamento de disco, impressora, etc; mudar a senha padro do seu equipamento de banda larga (modem ADSL, por
exemplo) pois as senhas destes equipamentos podem ser facilmente encontradas na Internet com uma simples busca. Esse fato de conhecimento dos atacantes e bastante abusado.
83
1.4 - O que fazer para proteger uma rede conectada por banda larga?
Muitos usurios de banda larga optam por montar uma pequena rede (domstica ou mesmo em pequenas empresas), com vrios computadores usando o mesmo acesso Internet. Nesses casos, alguns cuidados importantes, alm dos citados anteriormente, so:
instalar um firewall separando a rede interna da Internet; importante que voc guarde a senha original e lembre de restaur-la sempre que
caso seja instalado algum tipo de proxy (como AnalogX, WinGate, WinProxy, etc)
quinas da rede interna, devem-se tomar os devidos cuidados para que o firewall no permita que este compartilhamento seja visvel pela Internet.
muito importante notar que apenas instalar um firewall no suficiente. Muitos equipamentos de banda larga, como roteadores ADSL, esto incluindo outras funcionalidades, como por exemplo concentradores de acesso (Access Points) para redes wireless. Nesse caso, alm de seguir as dicas dessa seo tambm pode ser interessante observar as dicas da seo 2.3.
84
2 - Redes Wireless
As redes wireless, tambm conhecidas como IEEE 802.11, Wi-Fi ou WLANs, so redes que utilizam sinais de rdio para a sua comunicao. Este tipo de rede define duas formas de comunicao: modo infra-estrutura: normalmente o mais encontrado, utiliza um concentrador de acesso (Access Point ou AP); modo ponto a ponto (ad-hoc): permite que um pequeno grupo de mquinas se comunique diretamente, sem a necessidade de um AP. Estas redes wireless ganharam grande popularidade pela mobilidade que provem aos seus usurios e pela facilidade de instalao e uso em ambientes domsticos e empresariais, hotis, conferncias, aeroportos, etc.
estas redes utilizam sinais de rdio para a comunicao e qualquer pessoa com
um mnimo de equipamento poder interceptar os dados transmitidos por um cliente wireless (notebooks, PDAs, estaes de trabalho, etc);
por serem bastante simples de instalar, muitas pessoas esto utilizando redes desse
tipo em casa, sem nenhum cuidado adicional, e at mesmo em empresas, sem o conhecimento dos administradores de rede.
85
considerar que, ao conectar a uma WLAN, voc estar conectando-se a uma rede
pblica e, portanto, seu computador estar exposto a ameaas. muito importante que voc tome os seguintes cuidados com o seu computador: possuir um firewall pessoal; possuir um antivrus instalado e atualizado; aplicar as ltimas correes em seus softwares (sistema operacional, programas que utiliza, etc); desligar compartilhamento de disco, impressora, etc.
desabilitar o modo ad-hoc. Utilize esse modo apenas se for absolutamente neces-
usar WEP (Wired Equivalent Privacy) sempre que possvel, que permite criptogra-
far o trfego entre o cliente e o AP. Fale com o seu administrador de rede para verificar se o WEP est habilitado e se a chave diferente daquelas que acompanham a configurao padro do equipamento. O protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta no autorizada;
considerar o uso de criptografia nas aplicaes, como por exemplo o uso de PGP
para o envio de e-mails, SSH para conexes remotas ou ainda o uso de VPNs;
habilitar a rede wireless somente quando for us-la e desabilit-la aps o uso.
Algumas estaes de trabalho e notebooks permitem habilitar e desabilitar o uso de redes wireless atravs de comandos ou botes especficos. No caso de notebooks com cartes wireless PCMCIA, insira o carto apenas quando for usar a rede e retire-o ao terminar de usar.
2.3 - Que cuidados devo ter ao montar uma rede wireless domstica?
Pela convnincia e facilidade de configurao das redes wireless, muitas pessoas tem instalado estas redes em suas casas. Nestes casos, alm das preocupaes com os clientes da rede, tambm so necessrio alguns cuidados na configurao do AP. Algumas recomendaes so:
ter em mente que, dependendo da potncia da antena de seu AP, sua rede do-
mstica pode abranger uma rea muito maior que apenas a da sua casa. Com isto sua
86
rede pode ser utilizada sem o seu conhecimento ou ter seu trfego capturado por vizinhos ou pessoas que estejam nas proximidades da sua casa.
mudar configuraes padro que acompanham o seu AP. Alguns exemplos so:
alterar as senhas; alterar o SSID (Server Set ID); desabilitar o broadcast de SSID;
usar sempre que possvel WEP (Wired Equivalent Privacy), para criptografar o
trfego entre os clientes e o AP. Vale lembrar que o protocolo WEP possui diversas fragilidades e deve ser encarado como uma camada adicional para evitar a escuta no autorizada;
desligue seu AP quando no estiver usando sua rede; Existem configuraes de segurana mais avanadas para redes wireless, que
87
RESUMO
Esta parte do trabalho aborda o conceito de SPAM e os problemas que ele pode acarretar para usurios, provedores e empresas. Tambm so citadas tcnicas de filtragem que podem ser utilizadas por usurios para tentar bloquear o recebimento de SPAMs.
88
SUMRIO
1 - SPAM .................................................................................................................................. 89 1.1 - Quais so os problemas que o SPAM pode causar para um usurio da Internet? ...... 89 1.2 - Quais so os problemas que o SPAM pode causar para os provedores de acesso, back-bones e empresas? ................................................................................................ 90 1.3 - Como fazer para filtrar os e-mails de modo a barrar o recebimento de SPAMs? ... 90 1.4 - Para quem devo reclamar quando receber um SPAM? ....................................... 91 1.5 - Que informaes devo incluir numa reclamao de SPAM? ............................... 91
89
1 - SPAM
SPAM o termo usado para se referir aos e-mails no solicitados, que geralmente so enviados para um grande nmero de pessoas. Quando o contedo exclusivamente comercial, este tipo de mensagem tambm referenciada como UCE (do ingls Unsolicited Commercial Email).
1.1 - Quais so os problemas que o SPAM pode causar para um usurio da Internet?
Os usurios do servio de correio eletrnico podem ser afetados de diversas formas. Alguns exemplos so: No recebimento de e-mails. Boa parte dos provedores de Internet limita o tamanho da caixa postal do usurio no seu servidor. Caso o nmero de SPAMs recebidos seja muito grande o usurio corre o risco de ter sua caixa postal lotada com mensagens no solicitadas. Se isto ocorrer, todas as mensagens enviadas a partir deste momento sero devolvidas ao remetente e o usurio no conseguir mais receber e-mails at que possa liberar espao em sua caixa postal; Gasto desnecessrio de tempo. Para cada SPAM recebido, o usurio necessita gastar um determinado tempo para ler, identificar o e-mail como SPAM e remov-lo da caixa postal. Aumento de custos. Independentemente do tipo de acesso Internet utilizado, quem paga a conta pelo envio do SPAM quem o recebe. Por exemplo, para um usurio que utiliza acesso discado Internet, cada SPAM representa alguns segundos a mais de ligao que ele estar pagando. Perda de produtividade. Para quem utiliza o e-mail como uma ferramenta de trabalho, o recebimento de SPAMs aumenta o tempo dedicado tarefa de leitura de e-mails, alm de existir a chance de mensagens importantes no serem lidas, serem lidas com atraso ou apagadas por engano. Contedo imprprio. Como a maior parte dos SPAMs so enviados para conjuntos aleatrios de endereos de e-mail, no h como prever se uma mensagem com contedo imprprio ser recebida. Os casos mais comuns so de SPAMs com contedo pornogrfico ou de pedofilia enviados para crianas.
90
1.2 - Quais so os problemas que o SPAM pode causar para os provedores de acesso, backbones e empresas?
Para as empresas e provedores os problemas so inmeros e, muitas vezes, o custo adicional causado pelo SPAM transferido para a conta a ser paga pelos usurios. Alguns dos problemas sentidos pelos provedores e empresas so: Impacto na banda. Para as empresas e provedores o volume de trfego gerado por causa de SPAMs os obriga a aumentar a capacidade de seus links de conexo com a Internet. Como o custo dos links alto, isto diminui os lucros do provedor e muitas vezes pode refletir no aumento dos custos para o usurio. M utilizao dos servidores. Os servidores de e-mail dedicam boa parte do seu tempo de processamento para tratar das mensagens no solicitadas. Alm disso, o espao em disco ocupado por mensagens no solicitadas enviadas para um grande nmero de usurios considervel. Perda de clientes. Os provedores muitas vezes perdem clientes que se sentem afetados pelos SPAMs que recebem ou pelo fato de terem seus e-mails filtrados por causa de outros clientes que esto enviando SPAM. Investimento em pessoal e equipamentos. Para lidar com todos os problemas gerados pelo SPAM os provedores necessitam contratar mais tcnicos especializados e acrescentar sistemas de filtragem de SPAM, que implicam na compra de novos equipamentos. Como conseqncia urgncia os custos do provedor aumentam.
1.3 - Como fazer para filtrar os e-mails de modo a barrar o recebimento de SPAMs?
Existem basicamente dois tipos de software que podem ser utilizados para barrar SPAMs: aqueles que so colocados nos servidores, e que filtram os e-mails antes que cheguem at o usurio, e aqueles que so instalados nos computadores dos usurios, que filtram os e-mails com base em regras individuais de cada usurio. Podem ser encontradas referncias para diversas ferramentas de filtragem de e-mails nas pginas abaixo: - Spam Filters http://www.paulgraham.com/filters.html
91
- Free Spam Filters http://wecanstopspam.org/jsp/Wiki? FreeSpamFilters - OpenSource Spam Filters http://wecanstopspam.org/jsp/Wiki? OpenSourceSpamFilters - Commercial Spam Filters http://wecanstopspam.org/jsp/Wiki? CommercialSpamFilters
Tambm interessante consultar seu provedor de acesso, ou o administrador de sua rede, para verificar se existe algum filtro de e-mail instalado nos servidores que voc utiliza.
92
completo (header). no cabealho de uma mensagem que esto as informaes sobre o endereo IP de origem da mensagem, por quais servidores de e-mail a mensagem passou, entre outras. Informaes sobre como obter os cabealhos de mensagens podem ser encontradas em http: //www.antispam.org.br/header.html.
93
SEGURANA PARA INTERNET PARTE VII: INCIDENTES DE SEGURANA E USO ABUSIVO DA REDE
RESUMO
Esta parte do trabalho aborda tpicos relativos a incidentes de segurana e uso abusivo da rede. So discutidos os conceitos de poltica de segurana, poltica de uso aceitvel, registros de eventos e sistemas de deteco de intruso. Tambm so discutidos os procedimentos relativos ao processo de identificao e notificao de incidentes de segurana.
94
SUMRIO
1 - Incidentes de Segurana e Abusos................................................................................ 95 1.1 - O que incidente de segurana?............................................................................. 95 1.2 - O que poltica de segurana? ................................................................................ 95 1.3 - O que poltica de uso aceitvel (AUP)? ............................................................... 95 1.4 - O que pode ser considerado uso abusivo da rede?.............................................. 96
2 - Registros de Eventos (logs) ............................................................................................ 97 2.1 - O que so logs? .......................................................................................................... 97 2.2 - O que um sistema de deteco de intruso (IDS)? ........................................... 97 2.3 - Que tipo de atividade pode ocasionar a gerao de um log? ............................. 97 2.4 - O que um falso positivo? ........................................................................................ 97 2.5 - Que tipo de informao est presente em um log? ............................................... 98
3 - Notificaes de Incidentes e Abusos ............................................................................. 99 3.1 - Por que devo notificar incidentes? ........................................................................... 99 3.2 - Para quem devo notificar os incidentes? ................................................................ 99 3.3 - Por que devo manter o NBSO na cpia das notificaes? ............................................ 100 3.4 - Como encontro os responsveis pela mquina de onde partiu um ataque? .... 100 3.5 - Que informaes devo incluir em uma notificao de incidente? ....................... 101 3.6 - Onde posso encontrar outras informaes a respeito de notificaes de incidentes? . 101
95
tentativas de ganhar acesso no autorizado a sistemas ou dados; ataques de negao de servio; uso ou acesso no autorizado a um sistema; modificaes em um sistema, sem o conhecimento, instrues ou consentimento
ou provedor de acesso.
96
A poltica de uso aceitvel (AUP, de Acceptable Use Policy) um documento que define como os recursos computacionais de uma organizao podem ser utilizados. Tambm ela quem define os direitos e responsabilidades dos usurios. Os provedores de acesso Internet normalmente deixam suas polticas de uso aceitvel disponveis em suas pginas. Empresas costumam dar conhecimento da poltica de uso aceitvel no momento da contratao ou quando o funcion comea a utilizar os recursos computacionais da empresa.
envio de SPAM; envio de correntes da felicidade e de correntes para ganhar dinheiro rpido; cpia e distribuio no autorizada de material protegido por direitos autorais; utilizao da Internet para fazer difamao, calnia e ameaas; tentativas de ataques a outros computadores; comprometimento de computadores ou redes.
97
98
Um exemplo clssico de falso positivo ocorre no caso de usurios que costumam se conectar em servidores de IRC e que possuem um firewall pessoal. Atualmente boa parte dos servidores de IRC possui uma poltica de uso que define que um usurio, para se conectar em determinados servidores, no deve possuir em sua mquina pessoal nenhum software que atue como proxy 2 . Para verificar se um usurio tem algum software deste tipo, ao receberem uma solicitao de conexo por parte de um cliente, os servidores enviam para a mquina do cliente algumas conexes que checam pela existncia destes programas. Se o usurio possuir um firewall quase certo que estas conexes sero apontadas como um ataque. Outro caso comum de falso positivo ocorre quando o firewall no est devidamente configurado e indica como ataques respostas a solicitao feitas pelo prprio usurio.
Data e horrio em que ocorreu uma determinada atividade; Endereo IP de origem da atividade; Portas envolvidas;
Dependendo do grau de refinamento da ferramenta que gerou o log ele tambm pode conter informaes como:
O timezone do horrio do log; Protocolo utilizado (TCP, UDP, ICMP, etc). Os dados completos que foram enviados para o computador ou rede.
J os sistemas de deteco de intruso podem gerar logs tanto para casos de tentativa de ataques, quanto para casos em que um ataque teve sucesso. Apenas uma anlise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de deteo de intruso tambm podem gerar falsos positivos.
99
uma pessoa que pode estar ou no utilizando ferramentas que automatizam ataques.
Quando o ataque parte de uma mquina que foi vtima de um worm, reportar este incidente para os responsveis pela mquina que originou o ataque vai ajud-los a identificar o problema e resolv-lo. Se este no for o caso, a pessoa que est atacando o seu computador pode estar violando a poltica de uso aceitvel da rede que utiliza ou, pior ainda, pode ter invadido uma mquina e a estar utilizando para atacar outros computadores. Neste caso, avisar os responsveis pela mquina de onde parte o ataque pode alert-los para o mau comportamento de um usurios para uma invaso que ainda no havia sido detectada.
Caso algum dos sites envolvidos seja brasileiro mantenha o NBSO (nbso@nic.br) na
100
cpia da mensagem.
as estatsticas geradas reflitam os incidentes ocorridos na Internet brasileira; o NBSO escreva documentos direcionados para as necessidades dos usurios da
Internet no Brasil;
Acessar o site http://registro.br/ e fazer uma pesquisa pelo nmero IP ou pelo nome
101
ro exibidos;
Vale lembrar que os e-mails que so encontrados a partir destas consultas no so necessariamente os e-mails da pessoa que praticou um incidente de segurana. Estes e-mails so dos responsveis pela rede onde a mquina est conectada, ou seja, podem ser os administradores da rede, scios da empresa, ou qualquer outra pessoa que foi designada para cuidar da conexes da instituio com a Internet.
logs completos; data, horrio e timezone dos logs ou da ocorrncia da atividade sendo notificada; dados completos do incidente ou qualquer outra informao que tenha sido utiliza-
102