O documento fornece diretrizes sobre segurança na Internet. Ele discute conceitos gerais de segurança de computadores e senhas, riscos associados ao uso da Internet e métodos de prevenção, privacidade online, fraudes, redes sem fio e banda larga, spam, incidentes de segurança e códigos maliciosos. O documento também inclui um glossário, checklist e dicas rápidas de segurança.
1. Comitê Gestor da Internet no Brasil
Cartilha de Segurança
para Internet
Versão 3.1
2006
2. Cartilha de Seguranca
¸
para Internet
˜
Versao 3.1
2006
Centro de Estudos, Resposta e Tratamento
de Incidentes de Seguranca no Brasil
¸
ˆ
Comite Gestor da Internet no Brasil
˜
Sao Paulo
3. Copyright c 2006 Comitˆ Gestor da Internet no Brasil
e
Copyright c 2006 CERT.br
Cartilha de Seguranca para Internet, vers˜ o 3.1 / CERT.br – S˜ o Paulo: Comitˆ Gestor da Internet no
¸ a a e
Brasil, 2006.
ISBN: 978-85-60062-06-5
ISBN: 85-60062-06-8
Textos e Revis˜ o: Equipe do CERT.br
a
Jornalista Respons´ vel: Mariana Balboni, MTB 28.997
a
Comitˆ Gestor da Internet no Brasil
e
http://www.cgi.br/
Tel: +55 11 5509-3511
Fax: +55 11 5509-3512
4. Pref´ cio
a
´ ¸˜
A Cartilha de Seguranca para Internet e um documento com recomendacoes e dicas sobre como
¸
o usu´ rio de Internet deve se comportar para aumentar a sua seguranca e se proteger de poss´veis
a ¸ ı
ameacas.
¸
Produzido pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil
¸
– CERT.br, com o apoio do Comitˆ Gestor da Internet no Brasil – CGI.br, o documento apresenta o
e
significado de diversos termos e conceitos utilizados na Internet e fornece uma s´ rie de procedimentos
e
que visam melhorar a seguranca de um computador.
¸
N´ s esperamos que esta Cartilha possa auxili´ -lo n˜ o s´ a compreender as ameacas do ambi-
o a a o ¸
ente Internet, mas tamb´ m a manter seu sistema mais seguro. Gostar´amos ainda de lembrar que e
e ı ´
muito importante ficar sempre atento ao usar a Internet, pois somente aliando medidas t´ cnicas a boas
e
´
pr´ ticas e poss´vel atingir um n´vel de seguranca que permita o pleno uso da Internet.
a ı ı ¸
Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, por favor, entre
e a
em contato atrav´ s do endereco doc@cert.br.
e ¸
Equipe do CERT.br
Outubro de 2006
Estrutura da Cartilha
´
Este documento conta com oito partes, que dividem o conte´ do em diferentes areas relacionadas
u
e a ¸˜
com a seguranca da Internet, al´ m de um gloss´ rio, um checklist e uma compilacao de dicas r´ pidas.
¸ a
Parte I: Conceitos de Seguranca ¸
Apresenta conceitos gerais de seguranca de computadores, importantes para o entendimento
¸
das partes subseq¨ entes.
u
Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao
e ¸˜
¸˜
Aborda diversos riscos envolvidos no uso da Internet e m´ todos de prevencao, como programas
e
que possibilitam aumentar a seguranca de um computador e medidas preventivas no dia-a-dia
¸
do uso da Internet.
Parte III: Privacidade
o `
Discute quest˜ es relacionadas a privacidade do usu´ rio ao utilizar a Internet e aos cuidados que
a
ele deve ter com seus dados pessoais.
iii
5. iv Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
Parte IV: Fraudes na Internet
S˜ o abordadas quest˜ es relacionadas a fraudes na Internet e medidas preventivas que devem ser
a o
adotadas no acesso a sites de com´ rcio eletrˆ nico ou Internet Banking.
e o
Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless)
´
E dedicada aos usu´ rios de conex˜ es banda larga e de redes sem fio, sendo discutidas as
a o
¸˜ ¸˜
implicacoes de seguranca e m´ todos de prevencao peculiares a estes ambientes.
¸ e
Parte VI: Spam
S˜ o discutidos os problemas acarretados pelo spam, principalmente aqueles que possam ter
a
¸˜ ¸˜
implicacoes de seguranca, e m´ todos de prevencao.
¸ e
Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede
¸
¸˜
Trata dos conceitos relacionados a incidentes de seguranca, t´ cnicas de deteccao e recomenda-
¸ e
co
¸ ˜ es sobre como proceder para notificar ataques recebidos via Internet.
Parte VIII: C´ digos Maliciosos (Malware)
o
¸˜
Agrupa informacoes detalhadas sobre os tipos mais comuns de c´ digos maliciosos que podem
o
a ˆ
infectar os computadores dos usu´ rios, dando enfase no tipo de ameaca que cada c´ digo oferece
¸ o
a ¸˜
e quais s˜ o as medidas de prevencao espec´ficas para cada caso.
ı
Gloss´ rio
a
¸˜
Apresenta definicoes de diversos termos usados na Cartilha.
Checklist
Consiste em um resumo das boas pr´ ticas discutidas ao longo da Cartilha e que devem ser
a
adotadas pelos usu´ rios para se previnirem das ameacas discutidas. Pode ser usado como um
a ¸
guia r´ pido para conferir se as boas pr´ ticas est˜ o sendo seguidas.
a a a
Dicas
¸˜ a ¸ u ¸˜
Compilacao de dicas b´ sicas de seguranca, que re´ nem formas de prevencao contra os proble-
mas mais freq¨ entes enfrentados pelos usu´ rios de Internet.
u a
Outros Formatos
¸ ´
A Cartilha de Seguranca para Internet e um documento p´ blico e gratuito, dispon´vel no site
u ı
http://cartilha.cert.br/, em diversos formatos:
• arquivo PDF deste livro;
• arquivos PDF de cada uma das partes, do gloss´ rio e do checklist;
a
• dois folders de dicas:
– em frente e verso (dobr´ vel);
a
– em tamanho A4;
• vers˜ o em HTML de todo o conte´ do.
a u
6. ´
Prefacio v
Licenca de Uso da Cartilha
¸
Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde
´ ı
¸˜
que sejam respeitadas as seguintes condicoes:
´
1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento,
o
¸ ¸˜
acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet.
e e
´
2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro
a a
deste site que contenham partes espec´ficas da Cartilha.
ı
¸˜
3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de
material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte
¸
forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br,
ı ¸
mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.”
´ ¸˜ ¸˜
4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu-
o
¸˜ ¸˜
mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a
¸˜
comercializacao no todo ou em parte de c´ pias do referido documento.
o
¸˜
Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora
¸
¸˜
todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a
a
¸˜ ¸˜ uˆ
correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ encias
que possam advir do seu uso.
Hist´ rico da Cartilha
o
No in´cio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que
ı
` ´
a epoca chamava-se NBSO – NIC BR Security Office), identificou a necessidade de um guia com
¸˜
informacoes sobre seguranca que pudesse ser usado como referˆ ncia pelos diversos setores usu´ rios
¸ e a
uˆ
de Internet. Como conseq¨ encia, a pedido do Comitˆ Gestor da Internet no Brasil e sob supervis˜ o
e a
do CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers˜ o 1.0.
¸ ¸ a
Em 2003 foi verificada a necessidade de uma revis˜ o geral do documento, que n˜ o s´ inclu´sse
a a o ı
o e ¸˜
novos t´ picos, mas que tamb´ m facilitasse sua leitura e a localizacao de assuntos espec´ficos. Neste
ı
a `
processo de revis˜ o a Cartilha foi completamente reescrita, dando origem a vers˜ o 2.0. Esta vers˜ o,
a a
a primeira totalmente sob responsabilidade do CERT.br, consolidou o formato e a base de conte´ do u
que at´ hoje comp˜ em o documento, trazendo a divis˜ o em partes, o checklist e o gloss´ rio. Tamb´ m
e o a a e
¸˜
nesta vers˜ o foram introduzidas as secoes relativas a fraudes na Internet, banda larga, redes sem fio,
a
spam e incidentes de seguranca.
¸
` ¸˜
Na vers˜ o 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido a evolucao da tec-
a
nologia, novos assuntos foram inclu´dos. Foi criada uma parte espec´fica sobre c´ digos maliciosos,
ı ı o
expandida a parte sobre seguranca de redes sem fio e inclu´dos t´ picos espec´ficos sobre seguranca
¸ ı o ı ¸
em dispositivos m´ veis, como telefones celulares e computadores de m˜ o. Esta vers˜ o tamb´ m foi
o a a e
a ¸˜
a primeira a disponibilizar um folheto com as dicas b´ sicas para protecao contra as ameacas mais
¸
comuns.
A vers˜ o 3.1 n˜ o introduziu partes novas, mas incorporou diversas sugest˜ es de melhoria recebi-
a a o
¸˜ ¸´
das, corrigiu alguns erros de digitacao e atendeu a um pedido de muitos leitores: lanca-la em formato
de livro, para facilitar a leitura e a impress˜ o do conte´ do completo.
a u
7.
8. Agradecimentos
e ı ¸˜
Agradecemos a todos leitores da Cartilha, que tˆ m contribu´do para a elaboracao deste documento,
enviando coment´ rios, cr´ticas, sugest˜ es ou revis˜ es.
a ı o o
¸˜
Agradecemos especialmente a Nelson Murilo pela contribuicao na Parte V, em particular redes
¸˜
sem fio; a Luiz E. R. Cordeiro pelo texto da primeira vers˜ o; a Marcelo H. P. C. Chaves pela producao
a
da Vers˜ o 2.0, que deu origem ao documento atual, e por ser o principal mantenedor da Cartilha; e
a
a Rafael Rodrigues Obelheiro por ter sido nosso revisor externo e por ter contribu´do com diversas
ı
id´ ias para t´ picos a serem abordados no documento.
e o
vii
9.
10. Sum´ rio
a
Pref´ cio
a iii
Agradecimentos vii
Lista de Figuras xix
Parte I: Conceitos de Seguranca
¸ 1
1.1 Seguranca de Computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¸ 1
1.1.1 Por que devo me preocupar com a seguranca do meu computador? . . . . . .
¸ 1
1.1.2 Por que algu´ m iria querer invadir meu computador? . . . . . . . . . . . . .
e 2
1.2 Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2.1 ¸˜
O que n˜ o se deve usar na elaboracao de uma senha? . . . . . . . . . . . . .
a 3
1.2.2 ´
O que e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . 3
1.2.5 uˆ
Com que freq¨ encia devo mudar minhas senhas? . . . . . . . . . . . . . . . 4
1.2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . 4
1.2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) em
a
um computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.4 Engenharia Social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? . . . . . . . .
e 6
1.5 Vulnerabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.6 C´ digos Maliciosos (Malware) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
o 7
1.7 ¸˜
Negacao de Servico (Denial of Service) . . . . . . . . . . . . . . . . . . . . . . . .
¸ 7
1.7.1 ´
O que e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
ix
11. x Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
1.7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma
invas˜ o? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
a 8
1.8 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.8.1 ´ ´
O que e criptografia de chave unica? . . . . . . . . . . . . . . . . . . . . . . 9
1.8.2 ´
O que e criptografia de chaves p´ blica e privada? . . . . . . . . . . . . . . .
u 9
1.8.3 ´
O que e assinatura digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.8.4 ´
Que exemplos podem ser citados sobre o uso de criptografia de chave unica e
de chaves p´ blica e privada? . . . . . . . . . . . . . . . . . . . . . . . . . .
u 10
1.8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . 10
1.9 Certificado Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.9.1 ´
O que e Autoridade Certificadora (AC)? . . . . . . . . . . . . . . . . . . . . 11
1.9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . 12
e ¸˜
Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao 13
2.1 Programas Leitores de E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.1.1 Quais s˜ o os riscos associados ao uso de um programa leitor de e-mails? . . .
a 13
2.1.2 ´
E poss´vel configurar um programa leitor de e-mails de forma mais segura? .
ı 13
2.1.3 Que medidas preventivas devo adotar no uso dos programas leitores de e-mails? 14
2.2 Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.2.1 Quais s˜ o os riscos associados ao uso de um browser? . . . . . . . . . . . .
a 15
2.2.2 ` ¸˜
Quais s˜ o os riscos associados a execucao de JavaScripts e de programas Java? 15
a
2.2.3 ` ¸˜
Quais s˜ o os riscos associados a execucao de programas ActiveX? . . . . . .
a 15
2.2.4 Quais s˜ o os riscos associados ao uso de cookies? . . . . . . . . . . . . . . .
a 15
2.2.5 `
Quais s˜ o os riscos associados as pop-up windows? . . . . . . . . . . . . . .
a 16
2.2.6 a a ¸˜
Quais s˜ o os cuidados necess´ rios para realizar transacoes via Web? . . . . . 16
2.2.7 Que medidas preventivas devo adotar no uso de browsers? . . . . . . . . . . 16
2.2.8 Que caracter´sticas devo considerar na escolha de um browser? . . . . . . .
ı 17
2.3 Antiv´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ı 17
2.3.1 Que funcionalidades um bom antiv´rus deve possuir? . . . . . . . . . . . . .
ı 18
2.3.2 Como faco bom uso do meu antiv´rus? . . . . . . . . . . . . . . . . . . . . .
¸ ı 18
2.3.3 O que um antiv´rus n˜ o pode fazer? . . . . . . . . . . . . . . . . . . . . . .
ı a 19
2.4 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
12. ´
Sumario xi
2.4.1 Como o firewall pessoal funciona? . . . . . . . . . . . . . . . . . . . . . . . 19
2.4.2 Por que devo instalar um firewall pessoal em meu computador? . . . . . . . 19
2.4.3 Como posso saber se est˜ o tentando invadir meu computador? . . . . . . . .
a 20
2.5 Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.5.1 Como posso saber se os softwares instalados em meu computador possuem
alguma vulnerabilidade? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.5.2 Como posso corrigir as vulnerabilidades dos softwares em meu computador? 20
2.6 Programas de Troca de Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.6.1 Quais s˜ o os riscos associados ao uso de salas de bate-papo e de programas
a
como o ICQ ou IRC? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.6.2 Existem problemas de seguranca espec´ficos nos programas de troca ins-
¸ ı
tantˆ nea de mensagens? . . . . . . . . . . . . . . . . . . . . . . . . . . . .
a 21
2.6.3 Que medidas preventivas devo adotar no uso de programas de troca de men-
sagens? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.7 ¸˜
Programas de Distribuicao de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . 22
2.7.1 ¸˜
Quais s˜ o os riscos associados ao uso de programas de distribuicao de arquivos? 22
a
2.7.2 ¸˜
Que medidas preventivas devo adotar no uso de programas de distribuicao de
arquivos? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.8 Compartilhamento de Recursos do Windows . . . . . . . . . . . . . . . . . . . . . . 22
2.8.1 Quais s˜ o os riscos associados ao uso do compartilhamento de recursos? . . .
a 22
2.8.2 Que medidas preventivas devo adotar no uso do compartilhamento de recursos? 23
2.9 ¸˜
Realizacao de C´ pias de Seguranca (Backups) . . . . . . . . . . . . . . . . . . . . .
o ¸ 23
2.9.1 ´
Qual e a importˆ ncia de fazer c´ pias de seguranca? . . . . . . . . . . . . . .
a o ¸ 23
2.9.2 Quais s˜ o as formas de realizar c´ pias de seguranca? . . . . . . . . . . . . .
a o ¸ 23
2.9.3 uˆ
Com que freq¨ encia devo fazer c´ pias de seguranca? . . . . . . . . . . . . .
o ¸ 24
2.9.4 Que cuidados devo ter com as c´ pias de seguranca? . . . . . . . . . . . . . .
o ¸ 24
2.9.5 ¸˜
Que cuidados devo ter ao enviar um computador para a manutencao? . . . . 25
Parte III: Privacidade 27
3.1 Privacidade dos E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
3.1.1 ´
E poss´vel algu´ m ler e-mails de outro usu´ rio? . . . . . . . . . . . . . . . .
ı e a 27
3.1.2 ´
Como e poss´vel assegurar a privacidade dos e-mails? . . . . . . . . . . . . .
ı 27
3.1.3 ¸˜ ´
A utilizacao de programas de criptografia e suficiente para assegurar a priva-
cidade dos e-mails? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
13. xii Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
3.2 ¸˜
Privacidade no Acesso e Disponibilizacao de P´ ginas Web . . . . . . . . . . . . . .
a 28
3.2.1 Que cuidados devo ter ao acessar p´ ginas Web e ao receber cookies? . . . . .
a 28
3.2.2 Que cuidados devo ter ao disponibilizar uma p´ gina na Internet, como por
a
exemplo um blog? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.3 Cuidados com seus Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3.1 Que cuidados devo ter em sites de redes de relacionamentos, como por exem-
plo o orkut? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.4 Cuidados com os Dados Armazenados em um Disco R´gido . . . . . . . . . . . . .
ı 30
3.4.1 Como posso sobrescrever todos os dados de um disco r´gido? . . . . . . . .
ı 31
3.5 Cuidados com Telefones Celulares, PDAs e Outros Aparelhos com Bluetooth . . . . 31
3.5.1 Que riscos est˜ o associados ao uso de aparelhos com bluetooth? . . . . . . .
a 32
3.5.2 ¸˜ ¸˜
Que cuidados devo ter para evitar a exposicao de informacoes de um aparelho
com bluetooth? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Parte IV: Fraudes na Internet 33
4.1 Engenharia Social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.1.1 Como me protejo deste tipo de abordagem? . . . . . . . . . . . . . . . . . . 33
4.2 Fraudes via Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.2.1 ´ ¸˜
O que e scam e que situacoes podem ser citadas sobre este tipo de fraude? . . 34
4.2.1.1 Sites de leil˜ es e de produtos com precos “muito atrativos” . . . .
o ¸ 34
4.2.1.2 O golpe da Nig´ ria (Nigerian 4-1-9 Scam) . . . . . . . . . . . . .
e 35
4.2.2 ´ ¸˜
O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude? 35
4.2.2.1 Mensagens que contˆ m links para programas maliciosos . . . . . .
e 36
4.2.2.2 P´ ginas de com´ rcio eletrˆ nico ou Internet Banking falsificadas . .
a e o 38
4.2.2.3 E-mails contendo formul´ rios para o fornecimento de informacoes
a ¸˜
sens´veis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ı 39
4.2.2.4 ¸˜
Comprometimento do servico de resolucao de nomes . . . . . . .
¸ 40
4.2.2.5 ¸˜
Utilizacao de computadores de terceiros . . . . . . . . . . . . . . 40
4.2.3 Quais s˜ o os cuidados que devo ter ao acessar sites de com´ rcio eletrˆ nico ou
a e o
Internet Banking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.2.4 a ´
Como verificar se a conex˜ o e segura (criptografada)? . . . . . . . . . . . . 42
4.2.5 Como posso saber se o site que estou acessando n˜ o foi falsificado? . . . . .
a 43
4.2.6 ´
Como posso saber se o certificado emitido para o site e leg´timo? . . . . . .
ı 43
14. ´
Sumario xiii
4.2.7 O que devo fazer se perceber que meus dados financeiros est˜ o sendo usados
a
por terceiros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.3 Boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.3.1 Quais s˜ o os problemas de seguranca relacionados aos boatos? . . . . . . . .
a ¸ 45
4.3.2 ¸˜
Como evitar a distribuicao dos boatos? . . . . . . . . . . . . . . . . . . . . 45
4.3.3 ´
Como posso saber se um e-mail e um boato? . . . . . . . . . . . . . . . . . 46
Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless) 47
5.1 Servicos de Banda Larga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
¸ 47
5.1.1 Por que um atacante teria maior interesse por um computador com banda
larga e quais s˜ o os riscos associados? . . . . . . . . . . . . . . . . . . . . .
a 47
5.1.2 O que fazer para proteger um computador conectado por banda larga? . . . . 48
5.1.3 O que fazer para proteger uma rede conectada por banda larga? . . . . . . . 48
5.2 Redes Sem Fio (Wireless) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.2.1 Quais s˜ o os riscos do uso de redes sem fio? . . . . . . . . . . . . . . . . . .
a 49
5.2.2 Que cuidados devo ter com um cliente de uma rede sem fio? . . . . . . . . . 50
5.2.3 Que cuidados devo ter ao montar uma rede sem fio dom´ stica? . . . . . . . .
e 51
Parte VI: Spam 53
6.1 Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
6.1.1 Quais s˜ o os problemas que o spam pode causar para um usu´ rio da Internet?
a a 53
6.1.2 Quais s˜ o os problemas que o spam pode causar para os provedores de acesso,
a
backbones e empresas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6.1.3 Como os spammers conseguem enderecos de e-mail? . . . . . . . . . . . . .
¸ 54
6.1.4 Como os spammers confirmam que um endereco de e-mail existe? . . . . . .
¸ 55
6.1.5 Como fazer para filtrar os e-mails de modo a barrar o recebimento de spams? 56
6.1.6 Para quem devo reclamar quando receber um spam? . . . . . . . . . . . . . 56
6.1.7 ¸˜ ¸˜
Que informacoes devo incluir numa reclamacao de spam? . . . . . . . . . . 57
6.1.8 O que devo fazer ao identificar em um spam um caso de phishing/scam? . . . 57
6.1.9 ¸˜
Onde posso encontrar outras informacoes sobre spam? . . . . . . . . . . . . 57
Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede
¸ 59
7.1 Incidentes de Seguranca e Abusos . . . . . . . . . . . . . . . . . . . . . . . . . . .
¸ 59
7.1.1 ´
O que e incidente de seguranca? . . . . . . . . . . . . . . . . . . . . . . . .
¸ 59
15. xiv Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
7.1.2 ´
O que e pol´tica de seguranca? . . . . . . . . . . . . . . . . . . . . . . . . .
ı ¸ 59
7.1.3 ´
O que e pol´tica de uso aceit´ vel (AUP)? . . . . . . . . . . . . . . . . . . .
ı a 60
7.1.4 O que pode ser considerado uso abusivo da rede? . . . . . . . . . . . . . . . 60
7.2 Registros de Eventos (logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7.2.1 O que s˜ o logs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
a 60
7.2.2 ´ ¸˜
O que e um sistema de deteccao de intrus˜ o (IDS)? . . . . . . . . . . . . . .
a 61
7.2.3 ¸˜
Que tipo de atividade pode ocasionar a geracao de um log? . . . . . . . . . . 61
7.2.4 ´
O que e um falso positivo? . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7.2.5 ¸˜
Que tipo de informacao est´ presente em um log? . . . . . . . . . . . . . . .
a 61
7.3 ¸˜
Notificacoes de Incidentes e Abusos . . . . . . . . . . . . . . . . . . . . . . . . . . 62
7.3.1 Por que devo notificar incidentes? . . . . . . . . . . . . . . . . . . . . . . . 62
7.3.2 Para quem devo notificar os incidentes? . . . . . . . . . . . . . . . . . . . . 62
7.3.3 ¸˜
Por que devo manter o CERT.br na c´ pia das notificacoes? . . . . . . . . . .
o 63
7.3.4 Como encontro os respons´ veis pela m´ quina de onde partiu um ataque? . .
a a 63
7.3.5 ¸˜ ¸˜
Que informacoes devo incluir em uma notificacao de incidente? . . . . . . . 64
7.3.6 Como devo proceder para notificar casos de phishing/scam? . . . . . . . . . 64
7.3.7 ¸˜ ¸˜
Onde posso encontrar outras informacoes a respeito de notificacoes de inci-
dentes? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Parte VIII: C´ digos Maliciosos (Malware)
o 65
8.1 V´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ı 65
8.1.1 Como um v´rus pode afetar um computador? . . . . . . . . . . . . . . . . .
ı 65
8.1.2 ´
Como o computador e infectado por um v´rus? . . . . . . . . . . . . . . . .
ı 65
8.1.3 Um computador pode ser infectado por um v´rus sem que se perceba? . . . .
ı 66
8.1.4 ´
O que e um v´rus propagado por e-mail? . . . . . . . . . . . . . . . . . . . .
ı 66
8.1.5 ´
O que e um v´rus de macro? . . . . . . . . . . . . . . . . . . . . . . . . . .
ı 66
8.1.6 Como posso saber se um computador est´ infectado? . . . . . . . . . . . . .
a 67
8.1.7 Existe alguma maneira de proteger um computador de v´rus? . . . . . . . . .
ı 67
8.1.8 ´
O que e um v´rus de telefone celular? . . . . . . . . . . . . . . . . . . . . .
ı 67
8.1.9 Como posso proteger um telefone celular de v´rus? . . . . . . . . . . . . . .
ı 68
8.2 Cavalos de Tr´ ia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
o 68
8.2.1 Como um cavalo de tr´ ia pode ser diferenciado de um v´rus ou worm? . . . .
o ı 69
16. ´
Sumario xv
8.2.2 Como um cavalo de tr´ ia se instala em um computador? . . . . . . . . . . .
o 69
8.2.3 Que exemplos podem ser citados sobre programas contendo cavalos de tr´ ia?
o 69
8.2.4 O que um cavalo de tr´ ia pode fazer em um computador? . . . . . . . . . . .
o 69
8.2.5 Um cavalo de tr´ ia pode instalar programas sem o conhecimento do usu´ rio?
o a 70
8.2.6 ´
E poss´vel saber se um cavalo de tr´ ia instalou algo em um computador? . .
ı o 70
8.2.7 Existe alguma maneira de proteger um computador dos cavalos de tr´ ia? . .
o 70
8.3 Adware e Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
8.3.1 Que exemplos podem ser citados sobre programas spyware? . . . . . . . . . 71
8.3.2 ´
E poss´vel proteger um computador de programas spyware? . . . . . . . . .
ı 72
8.4 Backdoors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
8.4.1 ´
Como e feita a inclus˜ o de um backdoor em um computador? . . . . . . . .
a 72
8.4.2 A existˆ ncia de um backdoor depende necessariamente de uma invas˜ o? . . .
e a 72
8.4.3 Backdoors s˜ o restritos a um sistema operacional espec´fico? . . . . . . . . .
a ı 73
8.4.4 Existe alguma maneira de proteger um computador de backdoors? . . . . . . 73
8.5 Keyloggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
8.5.1 ¸˜
Que informacoes um keylogger pode obter se for instalado em um computador? 74
8.5.2 ¸˜
Diversos sites de instituicoes financeiras utilizam teclados virtuais. Neste
caso eu estou protegido dos keyloggers? . . . . . . . . . . . . . . . . . . . . 74
8.5.3 ´
Como e feita a inclus˜ o de um keylogger em um computador? . . . . . . . .
a 74
8.5.4 Como posso proteger um computador dos keyloggers? . . . . . . . . . . . . 74
8.6 Worms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
8.6.1 Como um worm pode afetar um computador? . . . . . . . . . . . . . . . . . 75
8.6.2 Como posso saber se meu computador est´ sendo utilizado para propagar um
a
worm? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
8.6.3 Como posso proteger um computador de worms? . . . . . . . . . . . . . . . 75
8.7 Bots e Botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
8.7.1 Como o invasor se comunica com o bot? . . . . . . . . . . . . . . . . . . . 76
8.7.2 O que o invasor pode fazer quando estiver no controle de um bot? . . . . . . 76
8.7.3 O que s˜ o botnets? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
a 76
8.7.4 Como posso saber se um bot foi instalado em um computador? . . . . . . . . 77
8.7.5 Como posso proteger um computador dos bots? . . . . . . . . . . . . . . . . 77
8.8 Rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
22. Parte I: Conceitos de Seguranca
¸
Esta parte da Cartilha apresenta conceitos de seguranca de computadores, onde s˜ o abordados
¸ a
` ¸˜
temas relacionados as senhas, engenharia social, malware, vulnerabilidade, ataques de negacao de
servico, criptografia e certificados digitais. Os conceitos aqui apresentados s˜ o importantes para o
¸ a
entendimento de partes subseq¨ entes desta Cartilha.
u
1.1 Seguranca de Computadores
¸
´
Um computador (ou sistema computacional) e dito seguro se este atende a trˆ s requisitos b´ sicos
e a
relacionados aos recursos que o comp˜ em: confidencialidade, integridade e disponibilidade.
o
¸˜ o a
A confidencialidade diz que a informacao s´ est´ dispon´vel para aqueles devidamente autoriza-
ı
¸˜ a ´
dos; a integridade diz que a informacao n˜ o e destru´da ou corrompida e o sistema tem um desempe-
ı
nho correto, e a disponibilidade diz que os servicos/recursos do sistema est˜ o dispon´veis sempre que
¸ a ı
forem necess´ rios.
a
¸˜
Alguns exemplos de violacoes a cada um desses requisitos s˜ o:
a
Confidencialidade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e lˆ todas as informa-
e e a e
¸˜ ¸˜
coes contidas na sua declaracao de Imposto de Renda;
Integridade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e altera informacoes da sua
e e a ¸˜
¸˜ a `
declaracao de Imposto de Renda, momentos antes de vocˆ envi´ -la a Receita Federal;
e
Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao ¸˜
¸ e ¸˜
de servico e por este motivo vocˆ fica impossibilitado de enviar sua declaracao de Imposto de
Renda a` Receita Federal.
1.1.1 Por que devo me preocupar com a seguranca do meu computador?
¸
e a u ¸˜
Computadores dom´ sticos s˜ o utilizados para realizar in´ meras tarefas, tais como: transacoes fi-
a ¸ ¸˜
nanceiras, sejam elas banc´ rias ou mesmo compra de produtos e servicos; comunicacao, por exemplo,
atrav´ s de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc.
e
´
E importante que vocˆ se preocupe com a seguranca de seu computador, pois vocˆ , provavelmente,
e ¸ e
n˜ o gostaria que:
a
• suas senhas e n´ meros de cart˜ es de cr´ dito fossem furtados e utilizados por terceiros;
u o e
1
23. 2 Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
• sua conta de acesso a Internet fosse utilizada por algu´ m n˜ o autorizado;
e a
• seus dados pessoais, ou at´ mesmo comerciais, fossem alterados, destru´dos ou visualizados
e ı
por terceiros;
• seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do
sistema terem sido apagados, etc.
1.1.2 Por que algu´ m iria querer invadir meu computador?
e
a ´
A resposta para esta pergunta n˜ o e simples. Os motivos pelos quais algu´ m tentaria invadir seu
e
computador s˜ o in´ meros. Alguns destes motivos podem ser:
a u
• utilizar seu computador em alguma atividade il´cita, para esconder a real identidade e localiza-
ı
¸˜
cao do invasor;
• utilizar seu computador para lancar ataques contra outros computadores;
¸
• utilizar seu disco r´gido como reposit´ rio de dados;
ı o
• destruir informacoes (vandalismo);
¸˜
• disseminar mensagens alarmantes e falsas;
• ler e enviar e-mails em seu nome;
• propagar v´rus de computador;
ı
• furtar n´ meros de cart˜ es de cr´ dito e senhas banc´ rias;
u o e a
• furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por vocˆ ;
e
• furtar dados do seu computador, como por exemplo, informacoes do seu Imposto de Renda.
¸˜
1.2 Senhas
Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar
´ ¸˜
o usu´ rio, ou seja, e utilizada no processo de verificacao da identidade do usu´ rio, assegurando que
a a
´
este e realmente quem diz ser.
Se uma outra pessoa tem acesso a sua senha, ela poder´ utiliz´ -la para se passar por vocˆ na
a a e
Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s˜ o:
a
• ler e enviar e-mails em seu nome;
• obter informacoes sens´veis dos dados armazenados em seu computador, tais como n´ meros de
¸˜ ı u
cart˜ es de cr´ dito;
o e
• esconder sua real identidade e ent˜ o desferir ataques contra computadores de terceiros.
a
¸˜ ´
Portanto, a senha merece consideracao especial, afinal ela e de sua inteira responsabilidade.
24. Parte I: Conceitos de Seguranca
¸ 3
¸˜
1.2.1 O que n˜ o se deve usar na elaboracao de uma senha?
a
Nomes, sobrenomes, n´ meros de documentos, placas de carros, n´ meros de telefones e datas1
u u
dever˜ o estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa
a
¸˜
mal intencionada, possivelmente, utilizaria este tipo de informacao para tentar se autenticar como
vocˆ .
e
Existem v´ rias regras de criacao de senhas, sendo que uma regra muito importante e jamais utili-
a ¸˜ ´
zar palavras que facam parte de dicion´ rios. Existem softwares que tentam descobrir senhas combi-
¸ a
nando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion´ rios)
a
e listas de nomes (nomes pr´ prios, m´ sicas, filmes, etc.).
o u
´
1.2.2 O que e uma boa senha?
Uma boa senha deve ter pelo menos oito caracteres2 (letras, n´ meros e s´mbolos), deve ser simples
u ı
de digitar e, o mais importante, deve ser f´ cil de lembrar.
a
Normalmente os sistemas diferenciam letras mai´ sculas das min´ sculas, o que j´ ajuda na com-
u u a
¸˜
posicao da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” s˜ o senhas diferentes.
a
Entretanto, s˜ o senhas f´ ceis de descobrir utilizando softwares para quebra de senhas, pois n˜ o pos-
a a a
u ı e ¸˜
suem n´ meros e s´mbolos, al´ m de conter muitas repeticoes de letras.
1.2.3 Como elaborar uma boa senha?
Quanto mais “baguncada” for a senha melhor, pois mais dif´cil ser´ descobr´-la3 . Assim, tente
¸ ı a ı
u u ¸˜
misturar letras mai´ sculas, min´ sculas, n´ meros e sinais de pontuacao. Uma regra realmente pr´ tica
u a
´
e que gera boas senhas dif´ceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira,
ı
´
segunda ou a ultima letra de cada palavra.
Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo ch˜ o” podemos gerar
a
¸˜
a senha “!BqnsepC” (o sinal de exclamacao foi colocado no in´cio para acrescentar um s´mbolo a
ı ı `
senha). Senhas geradas desta maneira s˜ o f´ ceis de lembrar e s˜ o normalmente dif´ceis de serem
a a a ı
descobertas.
Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha.
e ´
Vale ressaltar que se vocˆ tiver dificuldades para memorizar uma senha forte, e prefer´vel anot´ -la
ı a
e guard´ -la em local seguro, do que optar pelo uso de senhas fracas.
a
1.2.4 Quantas senhas diferentes devo usar?
Procure identificar o n´ mero de locais onde vocˆ necessita utilizar uma senha. Este n´ mero
u e u
deve ser equivalente a quantidade de senhas distintas a serem mantidas por vocˆ . Utilizar senhas
e
1 Qualquer data que possa estar relacionada com vocˆ , como por exemplo a data de seu anivers´ rio ou de familiares.
e a
2 Existem servicos que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif´cil
¸ ı
ser´ descobr´-la, portanto procure utilizar a senha de maior tamanho poss´vel.
a ı ı
3 Observe que a senha “1qaz2wsx” parece ser suficientemente “baguncada”, mas n˜ o e considerada uma boa senha,
¸ a ´
`
pois est´ associada a proximidade entre esses caracteres no teclado.
a
25. 4 Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
´
diferentes, uma para cada local, e extremamente importante, pois pode atenuar os preju´zos causados,
ı
caso algu´ m descubra uma de suas senhas.
e
a e ´
Para ressaltar a importˆ ncia do uso de senhas diferentes, imagine que vocˆ e respons´ vel por
a
¸˜
realizar movimentacoes financeiras em um conjunto de contas banc´ rias e todas estas contas possuem
a
a mesma senha. Ent˜ o, procure responder as seguintes perguntas:
a
• Quais seriam as conseq¨ encias se algu´ m descobrisse esta senha?
uˆ e
• E se fossem usadas senhas diferentes para cada conta, caso algu´ m descobrisse uma das senhas,
e
ı ı ¸˜
um poss´vel preju´zo teria a mesma proporcao?
¨e
1.2.5 Com que frequˆ ncia devo mudar minhas senhas?
Vocˆ deve trocar suas senhas regularmente, procurando evitar per´odos muito longos. Uma su-
e ı
a ´
gest˜ o e que vocˆ realize tais trocas a cada dois ou trˆ s meses.
e e
Procure identificar se os servicos que vocˆ utiliza e que necessitam de senha, quer seja o acesso
¸ e
ao seu provedor, e-mail, conta banc´ ria, ou outro, disponibilizam funcionalidades para alterar senhas
a
e use regularmente tais funcionalidades.
Caso vocˆ n˜ o possa escolher sua senha na hora em que contratar o servico, procure troc´ -la com
e a ¸ a
a maior urgˆ ncia poss´vel. Procure utilizar servicos em que vocˆ possa escolher a sua senha.
e ı ¸ e
Lembre-se que trocas regulares s˜ o muito importantes para assegurar a confidencialidade de suas
a
senhas.
1.2.6 Quais os cuidados especiais que devo ter com as senhas?
De nada adianta elaborar uma senha bastante segura e dif´cil de ser descoberta, se ao usar a senha
ı
algu´ m puder vˆ -la. Existem v´ rias maneiras de algu´ m poder descobrir a sua senha. Dentre elas,
e e a e
algu´ m poderia:
e
• observar o processo de digitacao da sua senha;
¸˜
• utilizar algum m´ todo de persuas˜ o, para tentar convencˆ -lo a entregar sua senha (vide se-
e a e
¸˜
cao 1.4.1);
• capturar sua senha enquanto ela trafega pela rede.
¸˜ ´ `
Em relacao a este ultimo caso, existem t´ cnicas que permitem observar dados, a medida que estes
e
trafegam entre redes. E ´ poss´vel que algu´ m extraia informacoes sens´veis desses dados, como por
ı e ¸˜ ı
¸˜
exemplo senhas, caso n˜ o estejam criptografados (vide secao 1.8).
a
Portanto, alguns dos principais cuidados que vocˆ deve ter com suas senhas s˜ o:
e a
• certifique-se de n˜ o estar sendo observado ao digitar a sua senha;
a
• n˜ o forneca sua senha para qualquer pessoa, em hip´ tese alguma;
a ¸ o
26. Parte I: Conceitos de Seguranca
¸ 5
• n˜ o utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de
a
¸˜
eventos, etc) em operacoes que necessitem utilizar suas senhas;
• certifique-se que seu provedor disponibiliza servicos criptografados, principalmente para aque-
¸
les que envolvam o fornecimento de uma senha.
1.2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root)
a
em um computador?
´
O usu´ rio Administrator (ou root) e de extrema importˆ ncia, pois det´ m todos os privil´ gios em
a a e e
¸˜
um computador. Ele deve ser usado em situacoes onde um usu´ rio normal n˜ o tenha privil´ gios para
a a e
¸˜
realizar uma operacao, como por exemplo, em determinadas tarefas administrativas, de manutencao ¸˜
¸˜ ¸˜
ou na instalacao e configuracao de determinados tipos de software.
Sabe-se que, por uma quest˜ o de comodidade e principalmente no ambiente dom´ stico, muitas
a e
pessoas utilizam o usu´ rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele
a
´ `
e usado para se conectar a Internet, navegar utilizando o browser, ler e-mails, redigir documentos,
etc.
Este e um procedimento que deve ser sempre evitado, pois vocˆ , como usu´ rio Administrator (ou
´ e a
root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacio-
nal ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente
um software malicioso que, como usu´ rio Administrator (ou root), teria todos os privil´ gios que ne-
a e
cessitasse, podendo fazer qualquer coisa.
Portanto, alguns dos principais cuidados que vocˆ deve ter s˜ o:
e a
• elaborar uma boa senha para o usu´ rio Administrator (ou root), como discutido na secao 1.2.3,
a ¸˜
¸˜
e seguir os procedimentos descritos na secao 1.2.6;
• utilizar o usu´ rio Administrator (ou root) somente quando for estritamente necess´ rio;
a a
• criar tantos usu´ rios com privil´ gios normais, quantas forem as pessoas que utilizam seu com-
a e
putador, para substituir assim o usu´ rio Administrator (ou root) em tarefas rotineiras, como
a
¸˜ ¸˜
leitura de e-mails, navegacao na Internet, producao de documentos, etc.
1.3 Cookies
a ¸˜
Cookies s˜ o pequenas informacoes que os sites visitados por vocˆ podem armazenar em seu
e
browser. Estes s˜ o utilizados pelos sites de diversas formas, tais como:
a
• guardar a sua identificacao e senha quando vocˆ vai de uma p´ gina para outra;
¸˜ e a
• manter listas de compras ou listas de produtos preferidos em sites de com´ rcio eletrˆ nico;
e o
• personalizar sites pessoais ou de not´cias, quando vocˆ escolhe o que quer que seja mostrado
ı e
nas p´ ginas;
a
27. 6 Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
• manter a lista das p´ ginas vistas em um site, para estat´stica ou para retirar as p´ ginas que vocˆ
a ı a e
n˜ o tem interesse dos links.
a
A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas
sugest˜ es para que se tenha maior controle sobre eles.
o
1.4 Engenharia Social
´
O termo e utilizado para descrever um m´ todo de ataque, onde algu´ m faz uso da persuas˜ o,
e e a
¸ a ¸˜
muitas vezes abusando da ingenuidade ou confianca do usu´ rio, para obter informacoes que podem
¸˜
ser utilizadas para ter acesso n˜ o autorizado a computadores ou informacoes.
a
1.4.1 Que exemplos podem ser citados sobre este m´ todo de ataque?
e
Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O
´
ultimo exemplo apresenta um ataque realizado por telefone.
Exemplo 1: vocˆ recebe uma mensagem e-mail, onde o remetente e o gerente ou algu´ m em nome
e ´ e
do departamento de suporte do seu banco. Na mensagem ele diz que o servico de Internet Bank-
¸
ing est´ apresentando algum problema e que tal problema pode ser corrigido se vocˆ executar
a e
` ¸˜
o aplicativo que est´ anexado a mensagem. A execucao deste aplicativo apresenta uma tela
a
`
an´ loga aquela que vocˆ utiliza para ter acesso a conta banc´ ria, aguardando que vocˆ digite
a e a e
sua senha. Na verdade, este aplicativo est´ preparado para furtar sua senha de acesso a conta
a
banc´ ria e envi´ -la para o atacante.
a a
Exemplo 2: vocˆ recebe uma mensagem de e-mail, dizendo que seu computador est´ infectado por
e a
um v´rus. A mensagem sugere que vocˆ instale uma ferramenta dispon´vel em um site da
ı e ı
¸˜ a ´
Internet, para eliminar o v´rus de seu computador. A real funcao desta ferramenta n˜ o e eliminar
ı
um v´rus, mas sim permitir que algu´ m tenha acesso ao seu computador e a todos os dados nele
ı e
armazenados.
Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t´ cnico do seu provedor.
e
¸˜
Nesta ligacao ele diz que sua conex˜ o com a Internet est´ apresentando algum problema e,
a a
ent˜ o, pede sua senha para corrig´-lo. Caso vocˆ entregue sua senha, este suposto t´ cnico
a ı e e
poder´ realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a
a
Internet e, portanto, relacionando tais atividades ao seu nome.
Estes casos mostram ataques t´picos de engenharia social, pois os discursos apresentados nos
ı
exemplos procuram induzir o usu´ rio a realizar alguma tarefa e o sucesso do ataque depende unica e
a ´
exclusivamente da decis˜ o do usu´ rio em fornecer informacoes sens´veis ou executar programas.
a a ¸˜ ı
A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.
28. Parte I: Conceitos de Seguranca
¸ 7
1.5 Vulnerabilidade
´ ¸˜ ¸˜
Vulnerabilidade e definida como uma falha no projeto, implementacao ou configuracao de um soft-
¸˜
ware ou sistema operacional que, quando explorada por um atacante, resulta na violacao da seguranca
¸
de um computador.
Existem casos onde um software ou sistema operacional instalado em um computador pode con-
¸˜
ter uma vulnerabilidade que permite sua exploracao remota, ou seja, atrav´ s da rede. Portanto, um
e
`
atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n˜ o autorizado ao
a
computador vulner´ vel.
a
¸˜
A Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao apresenta algumas
e
¸˜ ¸˜ ¸˜
formas de identificacao de vulnerabilidades, bem como maneiras de prevencao e correcao.
1.6 C´ digos Maliciosos (Malware)
o
o ´
C´ digo malicioso ou Malware (Malicious Software) e um termo gen´ rico que abrange todos os
e
¸˜
tipos de programa especificamente desenvolvidos para executar acoes maliciosas em um computador.
e ´
Na literatura de seguranca o termo malware tamb´ m e conhecido por “software malicioso”.
¸
Alguns exemplos de malware s˜ o:
a
• v´rus;
ı
• worms e bots;
• backdoors;
• cavalos de tr´ ia;
o
• keyloggers e outros programas spyware;
• rootkits.
¸˜
A Parte VIII: C´ digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identi-
o
¸˜ ¸˜
ficacao e prevencao para os diversos tipos de c´ digo malicioso.
o
1.7 ¸˜
Negacao de Servico (Denial of Service)
¸
Nos ataques de negacao de servico (DoS – Denial of Service) o atacante utiliza um computador
¸˜ ¸
¸˜ `
para tirar de operacao um servico ou computador conectado a Internet.
¸
Exemplos deste tipo de ataque s˜ o:
a
• gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o
usu´ rio n˜ o consiga utiliz´ -lo;
a a a
29. 8 Cartilha de Seguranca para Internet – c 2006 CERT.br
¸
• gerar um grande tr´ fego de dados para uma rede, ocupando toda a banda dispon´vel, de modo
a ı
que qualquer computador desta rede fique indispon´vel;
ı
• tirar servicos importantes de um provedor do ar, impossibilitando o acesso dos usu´ rios a suas
¸ a
caixas de correio no servidor de e-mail ou ao servidor Web.
´
1.7.1 O que e DDoS?
¸˜
DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribu´do,
¸ ı
ou seja, um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou
´ ¸˜ ¸
`
computadores conectados a Internet.
Normalmente estes ataques procuram ocupar toda a banda dispon´vel para o acesso a um com-
ı
a e ¸˜
putador ou rede, causando grande lentid˜ o ou at´ mesmo indisponibilizando qualquer comunicacao
com este computador ou rede.
1.7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma
invas˜ o?
a
a ´
N˜ o. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores, e n˜ o
a
´
invad´-los. E importante notar que, principalmente em casos de DDoS, computadores comprometidos
ı
¸˜
podem ser utilizados para desferir os ataques de negacao de servico.
¸
Um exemplo deste tipo de ataque ocorreu no in´cio de 2000, onde computadores de v´ rias partes
ı a
do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com´ rcio
e
eletrˆ nico. Estas empresas n˜ o tiveram seus computadores comprometidos, mas sim ficaram impos-
o a
sibilitadas de vender seus produtos durante um longo per´odo.
ı
1.8 Criptografia
´ ´
Criptografia e a ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. E parte de
e o
¸˜
um campo de estudos que trata das comunicacoes secretas, usadas, dentre outras finalidades, para:
• autenticar a identidade de usu´ rios;
a
• autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc´ rias;
¸˜ ¸˜ a
• proteger a integridade de transferˆ ncias eletrˆ nicas de fundos.
e o
Uma mensagem codificada por um m´ todo de criptografia deve ser privada, ou seja, somente
e
aquele que enviou e aquele que recebeu devem ter acesso ao conte´ do da mensagem. Al´ m disso,
u e
uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o
´
remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter
sido modificada.
30. Parte I: Conceitos de Seguranca
¸ 9
Os m´ todos de criptografia atuais s˜ o seguros e eficientes e baseiam-se no uso de uma ou mais
e a
chaves. A chave e uma seq¨ encia de caracteres, que pode conter letras, d´gitos e s´mbolos (como
´ uˆ ı ı
´
uma senha), e que e convertida em um n´ mero, utilizado pelos m´ todos de criptografia para codificar
u e
e decodificar mensagens.
Atualmente, os m´ todos criptogr´ ficos podem ser subdivididos em duas grandes categorias, de
e a
´ ¸˜
acordo com o tipo de chave utilizada: a criptografia de chave unica (vide secao 1.8.1) e a criptografia
¸˜
de chave p´ blica e privada (vide secao 1.8.2).
u
´ ´
1.8.1 O que e criptografia de chave unica?
´
A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar
¸˜
mensagens. Apesar deste m´ todo ser bastante eficiente em relacao ao tempo de processamento, ou
e
seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a ne-
¸˜
cessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou
¸˜
entidades que desejem trocar informacoes criptografadas.
¸˜
Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo da chave
e o ı
´ ¸˜
unica podem ser vistos nas secoes 1.8.4 e 1.8.5, respectivamente.
´ ´
1.8.2 O que e criptografia de chaves publica e privada?
A criptografia de chaves p´ blica e privada utiliza duas chaves distintas, uma para codificar e
u
outra para decodificar mensagens. Neste m´ todo cada pessoa ou entidade mant´ m duas chaves: uma
e e
p´ blica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
u
seu dono. As mensagens codificadas com a chave p´ blica s´ podem ser decodificadas com a chave
u o
privada correspondente.
Seja o exemplo, onde Jos´ e Maria querem se comunicar de maneira sigilosa. Ent˜ o, eles ter˜ o
e a a
que realizar os seguintes procedimentos:
1. Jos´ codifica uma mensagem utilizando a chave p´ blica de Maria, que est´ dispon´vel para o
e u a ı
uso de qualquer pessoa;
2. Depois de criptografada, Jos´ envia a mensagem para Maria, atrav´ s da Internet;
e e
´
3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que e apenas de seu
conhecimento;
4. Se Maria quiser responder a mensagem, dever´ realizar o mesmo procedimento, mas utilizando
a
a chave p´ blica de Jos´ .
u e
¸˜
Apesar deste m´ todo ter o desempenho bem inferior em relacao ao tempo de processamento,
e
´ ¸˜
quando comparado ao m´ todo de criptografia de chave unica (secao 1.8.1), apresenta como principal
e
¸˜
vantagem a livre distribuicao de chaves p´ blicas, n˜ o necessitando de um meio seguro para que chaves
u a
¸˜
sejam combinadas antecipadamente. Al´ m disso, pode ser utilizado na geracao de assinaturas digitais,
e
¸˜
como mostra a secao 1.8.3.
¸˜
Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo das
e o ı
¸˜
chaves p´ blica e privada podem ser vistos nas secoes 1.8.4 e 1.8.5, respectivamente.
u