Comitê Gestor da Internet no Brasil  Cartilha de Segurança       para Internet              Versão 3.1                2006
Cartilha de Seguranca                   ¸    para Internet                    ˜                Versao 3.1                 ...
Copyright c 2006 Comitˆ Gestor da Internet no Brasil                      eCopyright c 2006 CERT.brCartilha de Seguranca p...
Pref´ cio    a                                          ´                              ¸˜   A Cartilha de Seguranca para I...
iv                                             Cartilha de Seguranca para Internet – c 2006 CERT.br                       ...
´Prefacio                                                                                            vLicenca de Uso da Ca...
Agradecimentos                                                    e         ı                 ¸˜   Agradecemos a todos lei...
Sum´ rio   aPref´ cio    a                                                                                                ...
x                                               Cartilha de Seguranca para Internet – c 2006 CERT.br                      ...
´Sumario                                                                                               xi          2.4.1  ...
xii                                               Cartilha de Seguranca para Internet – c 2006 CERT.br                    ...
´Sumario                                                                                                xiii          4.2....
xiv                                               Cartilha de Seguranca para Internet – c 2006 CERT.br                    ...
´Sumario                                                                                                xv          8.2.2 ...
xvi                                              Cartilha de Seguranca para Internet – c 2006 CERT.br                     ...
´Sumario                                                                                               xvii          B.5.3...
Lista de Figuras 2.1   Exemplos de ´cones para recursos compartilhados. . . . . . . . . . . . . . . . . . .               ...
Parte I: Conceitos de Seguranca                             ¸    Esta parte da Cartilha apresenta conceitos de seguranca d...
2                                               Cartilha de Seguranca para Internet – c 2006 CERT.br                      ...
Parte I: Conceitos de Seguranca                             ¸                                                             ...
4                                             Cartilha de Seguranca para Internet – c 2006 CERT.br                        ...
Parte I: Conceitos de Seguranca                             ¸                                                             ...
6                                               Cartilha de Seguranca para Internet – c 2006 CERT.br                      ...
Parte I: Conceitos de Seguranca                             ¸                                                             ...
8                                              Cartilha de Seguranca para Internet – c 2006 CERT.br                       ...
Parte I: Conceitos de Seguranca                             ¸                                                             ...
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Cartilha seguranca-internet
Próximos SlideShares
Carregando em…5
×

Cartilha seguranca-internet

896 visualizações

Publicada em

..

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
896
No SlideShare
0
A partir de incorporações
0
Número de incorporações
263
Ações
Compartilhamentos
0
Downloads
8
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Cartilha seguranca-internet

  1. 1. Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Versão 3.1 2006
  2. 2. Cartilha de Seguranca ¸ para Internet ˜ Versao 3.1 2006 Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ ˆComite Gestor da Internet no Brasil ˜ Sao Paulo
  3. 3. Copyright c 2006 Comitˆ Gestor da Internet no Brasil eCopyright c 2006 CERT.brCartilha de Seguranca para Internet, vers˜ o 3.1 / CERT.br – S˜ o Paulo: Comitˆ Gestor da Internet no ¸ a a eBrasil, 2006.ISBN: 978-85-60062-06-5ISBN: 85-60062-06-8Textos e Revis˜ o: Equipe do CERT.br aJornalista Respons´ vel: Mariana Balboni, MTB 28.997 aComitˆ Gestor da Internet no Brasil ehttp://www.cgi.br/Tel: +55 11 5509-3511Fax: +55 11 5509-3512
  4. 4. Pref´ cio a ´ ¸˜ A Cartilha de Seguranca para Internet e um documento com recomendacoes e dicas sobre como ¸o usu´ rio de Internet deve se comportar para aumentar a sua seguranca e se proteger de poss´veis a ¸ ıameacas. ¸ Produzido pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸– CERT.br, com o apoio do Comitˆ Gestor da Internet no Brasil – CGI.br, o documento apresenta o esignificado de diversos termos e conceitos utilizados na Internet e fornece uma s´ rie de procedimentos eque visam melhorar a seguranca de um computador. ¸ N´ s esperamos que esta Cartilha possa auxili´ -lo n˜ o s´ a compreender as ameacas do ambi- o a a o ¸ente Internet, mas tamb´ m a manter seu sistema mais seguro. Gostar´amos ainda de lembrar que e e ı ´muito importante ficar sempre atento ao usar a Internet, pois somente aliando medidas t´ cnicas a boas e ´pr´ ticas e poss´vel atingir um n´vel de seguranca que permita o pleno uso da Internet. a ı ı ¸ Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, por favor, entre e aem contato atrav´ s do endereco doc@cert.br. e ¸Equipe do CERT.brOutubro de 2006Estrutura da Cartilha ´ Este documento conta com oito partes, que dividem o conte´ do em diferentes areas relacionadas u e a ¸˜com a seguranca da Internet, al´ m de um gloss´ rio, um checklist e uma compilacao de dicas r´ pidas. ¸ aParte I: Conceitos de Seguranca ¸ Apresenta conceitos gerais de seguranca de computadores, importantes para o entendimento ¸ das partes subseq¨ entes. uParte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao e ¸˜ ¸˜ Aborda diversos riscos envolvidos no uso da Internet e m´ todos de prevencao, como programas e que possibilitam aumentar a seguranca de um computador e medidas preventivas no dia-a-dia ¸ do uso da Internet.Parte III: Privacidade o ` Discute quest˜ es relacionadas a privacidade do usu´ rio ao utilizar a Internet e aos cuidados que a ele deve ter com seus dados pessoais. iii
  5. 5. iv Cartilha de Seguranca para Internet – c 2006 CERT.br ¸Parte IV: Fraudes na Internet S˜ o abordadas quest˜ es relacionadas a fraudes na Internet e medidas preventivas que devem ser a o adotadas no acesso a sites de com´ rcio eletrˆ nico ou Internet Banking. e oParte V: Redes de Banda Larga e Redes Sem Fio (Wireless) ´ E dedicada aos usu´ rios de conex˜ es banda larga e de redes sem fio, sendo discutidas as a o ¸˜ ¸˜ implicacoes de seguranca e m´ todos de prevencao peculiares a estes ambientes. ¸ eParte VI: Spam S˜ o discutidos os problemas acarretados pelo spam, principalmente aqueles que possam ter a ¸˜ ¸˜ implicacoes de seguranca, e m´ todos de prevencao. ¸ eParte VII: Incidentes de Seguranca e Uso Abusivo da Rede ¸ ¸˜ Trata dos conceitos relacionados a incidentes de seguranca, t´ cnicas de deteccao e recomenda- ¸ e co ¸ ˜ es sobre como proceder para notificar ataques recebidos via Internet.Parte VIII: C´ digos Maliciosos (Malware) o ¸˜ Agrupa informacoes detalhadas sobre os tipos mais comuns de c´ digos maliciosos que podem o a ˆ infectar os computadores dos usu´ rios, dando enfase no tipo de ameaca que cada c´ digo oferece ¸ o a ¸˜ e quais s˜ o as medidas de prevencao espec´ficas para cada caso. ıGloss´ rio a ¸˜ Apresenta definicoes de diversos termos usados na Cartilha.Checklist Consiste em um resumo das boas pr´ ticas discutidas ao longo da Cartilha e que devem ser a adotadas pelos usu´ rios para se previnirem das ameacas discutidas. Pode ser usado como um a ¸ guia r´ pido para conferir se as boas pr´ ticas est˜ o sendo seguidas. a a aDicas ¸˜ a ¸ u ¸˜ Compilacao de dicas b´ sicas de seguranca, que re´ nem formas de prevencao contra os proble- mas mais freq¨ entes enfrentados pelos usu´ rios de Internet. u aOutros Formatos ¸ ´ A Cartilha de Seguranca para Internet e um documento p´ blico e gratuito, dispon´vel no site u ıhttp://cartilha.cert.br/, em diversos formatos: • arquivo PDF deste livro; • arquivos PDF de cada uma das partes, do gloss´ rio e do checklist; a • dois folders de dicas: – em frente e verso (dobr´ vel); a – em tamanho A4; • vers˜ o em HTML de todo o conte´ do. a u
  6. 6. ´Prefacio vLicenca de Uso da Cartilha ¸ Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde ´ ı ¸˜que sejam respeitadas as seguintes condicoes: ´ 1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento, o ¸ ¸˜ acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet. e e ´ 2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro a a deste site que contenham partes espec´ficas da Cartilha. ı ¸˜ 3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte ¸ forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br, ı ¸ mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.” ´ ¸˜ ¸˜ 4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu- o ¸˜ ¸˜ mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a ¸˜ comercializacao no todo ou em parte de c´ pias do referido documento. o ¸˜ Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora ¸ ¸˜todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a a ¸˜ ¸˜ uˆcorrecao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ enciasque possam advir do seu uso.Hist´ rico da Cartilha o No in´cio de 2000, um grupo de estudos que, entre outros, envolveu a Abranet e o CERT.br (que ı` ´a epoca chamava-se NBSO – NIC BR Security Office), identificou a necessidade de um guia com ¸˜informacoes sobre seguranca que pudesse ser usado como referˆ ncia pelos diversos setores usu´ rios ¸ e a uˆde Internet. Como conseq¨ encia, a pedido do Comitˆ Gestor da Internet no Brasil e sob supervis˜ o e ado CERT.br, em julho do mesmo ano foi lancada a Cartilha de Seguranca para Internet Vers˜ o 1.0. ¸ ¸ a Em 2003 foi verificada a necessidade de uma revis˜ o geral do documento, que n˜ o s´ inclu´sse a a o ı o e ¸˜novos t´ picos, mas que tamb´ m facilitasse sua leitura e a localizacao de assuntos espec´ficos. Neste ı a `processo de revis˜ o a Cartilha foi completamente reescrita, dando origem a vers˜ o 2.0. Esta vers˜ o, a aa primeira totalmente sob responsabilidade do CERT.br, consolidou o formato e a base de conte´ do uque at´ hoje comp˜ em o documento, trazendo a divis˜ o em partes, o checklist e o gloss´ rio. Tamb´ m e o a a e ¸˜nesta vers˜ o foram introduzidas as secoes relativas a fraudes na Internet, banda larga, redes sem fio, aspam e incidentes de seguranca. ¸ ` ¸˜ Na vers˜ o 3.0, de 2005, a Cartilha continuou com sua estrutura, mas, devido a evolucao da tec- anologia, novos assuntos foram inclu´dos. Foi criada uma parte espec´fica sobre c´ digos maliciosos, ı ı oexpandida a parte sobre seguranca de redes sem fio e inclu´dos t´ picos espec´ficos sobre seguranca ¸ ı o ı ¸em dispositivos m´ veis, como telefones celulares e computadores de m˜ o. Esta vers˜ o tamb´ m foi o a a e a ¸˜a primeira a disponibilizar um folheto com as dicas b´ sicas para protecao contra as ameacas mais ¸comuns. A vers˜ o 3.1 n˜ o introduziu partes novas, mas incorporou diversas sugest˜ es de melhoria recebi- a a o ¸˜ ¸´das, corrigiu alguns erros de digitacao e atendeu a um pedido de muitos leitores: lanca-la em formatode livro, para facilitar a leitura e a impress˜ o do conte´ do completo. a u
  7. 7. Agradecimentos e ı ¸˜ Agradecemos a todos leitores da Cartilha, que tˆ m contribu´do para a elaboracao deste documento,enviando coment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o o ¸˜ Agradecemos especialmente a Nelson Murilo pela contribuicao na Parte V, em particular redes ¸˜sem fio; a Luiz E. R. Cordeiro pelo texto da primeira vers˜ o; a Marcelo H. P. C. Chaves pela producao ada Vers˜ o 2.0, que deu origem ao documento atual, e por ser o principal mantenedor da Cartilha; e aa Rafael Rodrigues Obelheiro por ter sido nosso revisor externo e por ter contribu´do com diversas ıid´ ias para t´ picos a serem abordados no documento. e o vii
  8. 8. Sum´ rio aPref´ cio a iiiAgradecimentos viiLista de Figuras xixParte I: Conceitos de Seguranca ¸ 1 1.1 Seguranca de Computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 1 1.1.1 Por que devo me preocupar com a seguranca do meu computador? . . . . . . ¸ 1 1.1.2 Por que algu´ m iria querer invadir meu computador? . . . . . . . . . . . . . e 2 1.2 Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.2.1 ¸˜ O que n˜ o se deve usar na elaboracao de uma senha? . . . . . . . . . . . . . a 3 1.2.2 ´ O que e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . 3 1.2.5 uˆ Com que freq¨ encia devo mudar minhas senhas? . . . . . . . . . . . . . . . 4 1.2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . 4 1.2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) em a um computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.3 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.4 Engenharia Social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 1.4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? . . . . . . . . e 6 1.5 Vulnerabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.6 C´ digos Maliciosos (Malware) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 7 1.7 ¸˜ Negacao de Servico (Denial of Service) . . . . . . . . . . . . . . . . . . . . . . . . ¸ 7 1.7.1 ´ O que e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 ix
  9. 9. x Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 1.7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 8 1.8 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.8.1 ´ ´ O que e criptografia de chave unica? . . . . . . . . . . . . . . . . . . . . . . 9 1.8.2 ´ O que e criptografia de chaves p´ blica e privada? . . . . . . . . . . . . . . . u 9 1.8.3 ´ O que e assinatura digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.8.4 ´ Que exemplos podem ser citados sobre o uso de criptografia de chave unica e de chaves p´ blica e privada? . . . . . . . . . . . . . . . . . . . . . . . . . . u 10 1.8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . 10 1.9 Certificado Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.9.1 ´ O que e Autoridade Certificadora (AC)? . . . . . . . . . . . . . . . . . . . . 11 1.9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . 12 e ¸˜Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao 13 2.1 Programas Leitores de E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.1.1 Quais s˜ o os riscos associados ao uso de um programa leitor de e-mails? . . . a 13 2.1.2 ´ E poss´vel configurar um programa leitor de e-mails de forma mais segura? . ı 13 2.1.3 Que medidas preventivas devo adotar no uso dos programas leitores de e-mails? 14 2.2 Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.2.1 Quais s˜ o os riscos associados ao uso de um browser? . . . . . . . . . . . . a 15 2.2.2 ` ¸˜ Quais s˜ o os riscos associados a execucao de JavaScripts e de programas Java? 15 a 2.2.3 ` ¸˜ Quais s˜ o os riscos associados a execucao de programas ActiveX? . . . . . . a 15 2.2.4 Quais s˜ o os riscos associados ao uso de cookies? . . . . . . . . . . . . . . . a 15 2.2.5 ` Quais s˜ o os riscos associados as pop-up windows? . . . . . . . . . . . . . . a 16 2.2.6 a a ¸˜ Quais s˜ o os cuidados necess´ rios para realizar transacoes via Web? . . . . . 16 2.2.7 Que medidas preventivas devo adotar no uso de browsers? . . . . . . . . . . 16 2.2.8 Que caracter´sticas devo considerar na escolha de um browser? . . . . . . . ı 17 2.3 Antiv´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 17 2.3.1 Que funcionalidades um bom antiv´rus deve possuir? . . . . . . . . . . . . . ı 18 2.3.2 Como faco bom uso do meu antiv´rus? . . . . . . . . . . . . . . . . . . . . . ¸ ı 18 2.3.3 O que um antiv´rus n˜ o pode fazer? . . . . . . . . . . . . . . . . . . . . . . ı a 19 2.4 Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
  10. 10. ´Sumario xi 2.4.1 Como o firewall pessoal funciona? . . . . . . . . . . . . . . . . . . . . . . . 19 2.4.2 Por que devo instalar um firewall pessoal em meu computador? . . . . . . . 19 2.4.3 Como posso saber se est˜ o tentando invadir meu computador? . . . . . . . . a 20 2.5 Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.5.1 Como posso saber se os softwares instalados em meu computador possuem alguma vulnerabilidade? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.5.2 Como posso corrigir as vulnerabilidades dos softwares em meu computador? 20 2.6 Programas de Troca de Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.6.1 Quais s˜ o os riscos associados ao uso de salas de bate-papo e de programas a como o ICQ ou IRC? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.6.2 Existem problemas de seguranca espec´ficos nos programas de troca ins- ¸ ı tantˆ nea de mensagens? . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 21 2.6.3 Que medidas preventivas devo adotar no uso de programas de troca de men- sagens? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.7 ¸˜ Programas de Distribuicao de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . 22 2.7.1 ¸˜ Quais s˜ o os riscos associados ao uso de programas de distribuicao de arquivos? 22 a 2.7.2 ¸˜ Que medidas preventivas devo adotar no uso de programas de distribuicao de arquivos? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.8 Compartilhamento de Recursos do Windows . . . . . . . . . . . . . . . . . . . . . . 22 2.8.1 Quais s˜ o os riscos associados ao uso do compartilhamento de recursos? . . . a 22 2.8.2 Que medidas preventivas devo adotar no uso do compartilhamento de recursos? 23 2.9 ¸˜ Realizacao de C´ pias de Seguranca (Backups) . . . . . . . . . . . . . . . . . . . . . o ¸ 23 2.9.1 ´ Qual e a importˆ ncia de fazer c´ pias de seguranca? . . . . . . . . . . . . . . a o ¸ 23 2.9.2 Quais s˜ o as formas de realizar c´ pias de seguranca? . . . . . . . . . . . . . a o ¸ 23 2.9.3 uˆ Com que freq¨ encia devo fazer c´ pias de seguranca? . . . . . . . . . . . . . o ¸ 24 2.9.4 Que cuidados devo ter com as c´ pias de seguranca? . . . . . . . . . . . . . . o ¸ 24 2.9.5 ¸˜ Que cuidados devo ter ao enviar um computador para a manutencao? . . . . 25Parte III: Privacidade 27 3.1 Privacidade dos E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.1.1 ´ E poss´vel algu´ m ler e-mails de outro usu´ rio? . . . . . . . . . . . . . . . . ı e a 27 3.1.2 ´ Como e poss´vel assegurar a privacidade dos e-mails? . . . . . . . . . . . . . ı 27 3.1.3 ¸˜ ´ A utilizacao de programas de criptografia e suficiente para assegurar a priva- cidade dos e-mails? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
  11. 11. xii Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 3.2 ¸˜ Privacidade no Acesso e Disponibilizacao de P´ ginas Web . . . . . . . . . . . . . . a 28 3.2.1 Que cuidados devo ter ao acessar p´ ginas Web e ao receber cookies? . . . . . a 28 3.2.2 Que cuidados devo ter ao disponibilizar uma p´ gina na Internet, como por a exemplo um blog? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.3 Cuidados com seus Dados Pessoais . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.3.1 Que cuidados devo ter em sites de redes de relacionamentos, como por exem- plo o orkut? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 3.4 Cuidados com os Dados Armazenados em um Disco R´gido . . . . . . . . . . . . . ı 30 3.4.1 Como posso sobrescrever todos os dados de um disco r´gido? . . . . . . . . ı 31 3.5 Cuidados com Telefones Celulares, PDAs e Outros Aparelhos com Bluetooth . . . . 31 3.5.1 Que riscos est˜ o associados ao uso de aparelhos com bluetooth? . . . . . . . a 32 3.5.2 ¸˜ ¸˜ Que cuidados devo ter para evitar a exposicao de informacoes de um aparelho com bluetooth? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32Parte IV: Fraudes na Internet 33 4.1 Engenharia Social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.1.1 Como me protejo deste tipo de abordagem? . . . . . . . . . . . . . . . . . . 33 4.2 Fraudes via Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.2.1 ´ ¸˜ O que e scam e que situacoes podem ser citadas sobre este tipo de fraude? . . 34 4.2.1.1 Sites de leil˜ es e de produtos com precos “muito atrativos” . . . . o ¸ 34 4.2.1.2 O golpe da Nig´ ria (Nigerian 4-1-9 Scam) . . . . . . . . . . . . . e 35 4.2.2 ´ ¸˜ O que e phishing e que situacoes podem ser citadas sobre este tipo de fraude? 35 4.2.2.1 Mensagens que contˆ m links para programas maliciosos . . . . . . e 36 4.2.2.2 P´ ginas de com´ rcio eletrˆ nico ou Internet Banking falsificadas . . a e o 38 4.2.2.3 E-mails contendo formul´ rios para o fornecimento de informacoes a ¸˜ sens´veis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 39 4.2.2.4 ¸˜ Comprometimento do servico de resolucao de nomes . . . . . . . ¸ 40 4.2.2.5 ¸˜ Utilizacao de computadores de terceiros . . . . . . . . . . . . . . 40 4.2.3 Quais s˜ o os cuidados que devo ter ao acessar sites de com´ rcio eletrˆ nico ou a e o Internet Banking? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 4.2.4 a ´ Como verificar se a conex˜ o e segura (criptografada)? . . . . . . . . . . . . 42 4.2.5 Como posso saber se o site que estou acessando n˜ o foi falsificado? . . . . . a 43 4.2.6 ´ Como posso saber se o certificado emitido para o site e leg´timo? . . . . . . ı 43
  12. 12. ´Sumario xiii 4.2.7 O que devo fazer se perceber que meus dados financeiros est˜ o sendo usados a por terceiros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 4.3 Boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 4.3.1 Quais s˜ o os problemas de seguranca relacionados aos boatos? . . . . . . . . a ¸ 45 4.3.2 ¸˜ Como evitar a distribuicao dos boatos? . . . . . . . . . . . . . . . . . . . . 45 4.3.3 ´ Como posso saber se um e-mail e um boato? . . . . . . . . . . . . . . . . . 46Parte V: Redes de Banda Larga e Redes Sem Fio (Wireless) 47 5.1 Servicos de Banda Larga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 47 5.1.1 Por que um atacante teria maior interesse por um computador com banda larga e quais s˜ o os riscos associados? . . . . . . . . . . . . . . . . . . . . . a 47 5.1.2 O que fazer para proteger um computador conectado por banda larga? . . . . 48 5.1.3 O que fazer para proteger uma rede conectada por banda larga? . . . . . . . 48 5.2 Redes Sem Fio (Wireless) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 5.2.1 Quais s˜ o os riscos do uso de redes sem fio? . . . . . . . . . . . . . . . . . . a 49 5.2.2 Que cuidados devo ter com um cliente de uma rede sem fio? . . . . . . . . . 50 5.2.3 Que cuidados devo ter ao montar uma rede sem fio dom´ stica? . . . . . . . . e 51Parte VI: Spam 53 6.1 Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 6.1.1 Quais s˜ o os problemas que o spam pode causar para um usu´ rio da Internet? a a 53 6.1.2 Quais s˜ o os problemas que o spam pode causar para os provedores de acesso, a backbones e empresas? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 6.1.3 Como os spammers conseguem enderecos de e-mail? . . . . . . . . . . . . . ¸ 54 6.1.4 Como os spammers confirmam que um endereco de e-mail existe? . . . . . . ¸ 55 6.1.5 Como fazer para filtrar os e-mails de modo a barrar o recebimento de spams? 56 6.1.6 Para quem devo reclamar quando receber um spam? . . . . . . . . . . . . . 56 6.1.7 ¸˜ ¸˜ Que informacoes devo incluir numa reclamacao de spam? . . . . . . . . . . 57 6.1.8 O que devo fazer ao identificar em um spam um caso de phishing/scam? . . . 57 6.1.9 ¸˜ Onde posso encontrar outras informacoes sobre spam? . . . . . . . . . . . . 57Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede ¸ 59 7.1 Incidentes de Seguranca e Abusos . . . . . . . . . . . . . . . . . . . . . . . . . . . ¸ 59 7.1.1 ´ O que e incidente de seguranca? . . . . . . . . . . . . . . . . . . . . . . . . ¸ 59
  13. 13. xiv Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 7.1.2 ´ O que e pol´tica de seguranca? . . . . . . . . . . . . . . . . . . . . . . . . . ı ¸ 59 7.1.3 ´ O que e pol´tica de uso aceit´ vel (AUP)? . . . . . . . . . . . . . . . . . . . ı a 60 7.1.4 O que pode ser considerado uso abusivo da rede? . . . . . . . . . . . . . . . 60 7.2 Registros de Eventos (logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 7.2.1 O que s˜ o logs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 60 7.2.2 ´ ¸˜ O que e um sistema de deteccao de intrus˜ o (IDS)? . . . . . . . . . . . . . . a 61 7.2.3 ¸˜ Que tipo de atividade pode ocasionar a geracao de um log? . . . . . . . . . . 61 7.2.4 ´ O que e um falso positivo? . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 7.2.5 ¸˜ Que tipo de informacao est´ presente em um log? . . . . . . . . . . . . . . . a 61 7.3 ¸˜ Notificacoes de Incidentes e Abusos . . . . . . . . . . . . . . . . . . . . . . . . . . 62 7.3.1 Por que devo notificar incidentes? . . . . . . . . . . . . . . . . . . . . . . . 62 7.3.2 Para quem devo notificar os incidentes? . . . . . . . . . . . . . . . . . . . . 62 7.3.3 ¸˜ Por que devo manter o CERT.br na c´ pia das notificacoes? . . . . . . . . . . o 63 7.3.4 Como encontro os respons´ veis pela m´ quina de onde partiu um ataque? . . a a 63 7.3.5 ¸˜ ¸˜ Que informacoes devo incluir em uma notificacao de incidente? . . . . . . . 64 7.3.6 Como devo proceder para notificar casos de phishing/scam? . . . . . . . . . 64 7.3.7 ¸˜ ¸˜ Onde posso encontrar outras informacoes a respeito de notificacoes de inci- dentes? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64Parte VIII: C´ digos Maliciosos (Malware) o 65 8.1 V´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 65 8.1.1 Como um v´rus pode afetar um computador? . . . . . . . . . . . . . . . . . ı 65 8.1.2 ´ Como o computador e infectado por um v´rus? . . . . . . . . . . . . . . . . ı 65 8.1.3 Um computador pode ser infectado por um v´rus sem que se perceba? . . . . ı 66 8.1.4 ´ O que e um v´rus propagado por e-mail? . . . . . . . . . . . . . . . . . . . . ı 66 8.1.5 ´ O que e um v´rus de macro? . . . . . . . . . . . . . . . . . . . . . . . . . . ı 66 8.1.6 Como posso saber se um computador est´ infectado? . . . . . . . . . . . . . a 67 8.1.7 Existe alguma maneira de proteger um computador de v´rus? . . . . . . . . . ı 67 8.1.8 ´ O que e um v´rus de telefone celular? . . . . . . . . . . . . . . . . . . . . . ı 67 8.1.9 Como posso proteger um telefone celular de v´rus? . . . . . . . . . . . . . . ı 68 8.2 Cavalos de Tr´ ia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o 68 8.2.1 Como um cavalo de tr´ ia pode ser diferenciado de um v´rus ou worm? . . . . o ı 69
  14. 14. ´Sumario xv 8.2.2 Como um cavalo de tr´ ia se instala em um computador? . . . . . . . . . . . o 69 8.2.3 Que exemplos podem ser citados sobre programas contendo cavalos de tr´ ia? o 69 8.2.4 O que um cavalo de tr´ ia pode fazer em um computador? . . . . . . . . . . . o 69 8.2.5 Um cavalo de tr´ ia pode instalar programas sem o conhecimento do usu´ rio? o a 70 8.2.6 ´ E poss´vel saber se um cavalo de tr´ ia instalou algo em um computador? . . ı o 70 8.2.7 Existe alguma maneira de proteger um computador dos cavalos de tr´ ia? . . o 70 8.3 Adware e Spyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 8.3.1 Que exemplos podem ser citados sobre programas spyware? . . . . . . . . . 71 8.3.2 ´ E poss´vel proteger um computador de programas spyware? . . . . . . . . . ı 72 8.4 Backdoors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 8.4.1 ´ Como e feita a inclus˜ o de um backdoor em um computador? . . . . . . . . a 72 8.4.2 A existˆ ncia de um backdoor depende necessariamente de uma invas˜ o? . . . e a 72 8.4.3 Backdoors s˜ o restritos a um sistema operacional espec´fico? . . . . . . . . . a ı 73 8.4.4 Existe alguma maneira de proteger um computador de backdoors? . . . . . . 73 8.5 Keyloggers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 8.5.1 ¸˜ Que informacoes um keylogger pode obter se for instalado em um computador? 74 8.5.2 ¸˜ Diversos sites de instituicoes financeiras utilizam teclados virtuais. Neste caso eu estou protegido dos keyloggers? . . . . . . . . . . . . . . . . . . . . 74 8.5.3 ´ Como e feita a inclus˜ o de um keylogger em um computador? . . . . . . . . a 74 8.5.4 Como posso proteger um computador dos keyloggers? . . . . . . . . . . . . 74 8.6 Worms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 8.6.1 Como um worm pode afetar um computador? . . . . . . . . . . . . . . . . . 75 8.6.2 Como posso saber se meu computador est´ sendo utilizado para propagar um a worm? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 8.6.3 Como posso proteger um computador de worms? . . . . . . . . . . . . . . . 75 8.7 Bots e Botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 8.7.1 Como o invasor se comunica com o bot? . . . . . . . . . . . . . . . . . . . 76 8.7.2 O que o invasor pode fazer quando estiver no controle de um bot? . . . . . . 76 8.7.3 O que s˜ o botnets? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a 76 8.7.4 Como posso saber se um bot foi instalado em um computador? . . . . . . . . 77 8.7.5 Como posso proteger um computador dos bots? . . . . . . . . . . . . . . . . 77 8.8 Rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
  15. 15. xvi Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 8.8.1 Que funcionalidades um rootkit pode conter? . . . . . . . . . . . . . . . . . 78 8.8.2 Como posso saber se um rootkit foi instalado em um computador? . . . . . . 78 8.8.3 Como posso proteger um computador dos rootkits? . . . . . . . . . . . . . . 78Apˆ ndice A: Gloss´ rio e a 79Apˆ ndice B: Checklist e 87 ¸˜ B.1 Prevencao Contra Riscos e C´ digos Maliciosos (Malware) . . . . . . . . . . . . . . o 87 B.1.1 Contas e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 B.1.2 V´rus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ı 87 B.1.3 Worms, bots e botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 B.1.4 Cavalos de tr´ ia, backdoors, keyloggers e spywares . . . . . . . . . . . . . . o 88 B.2 Cuidados no Uso da Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 B.2.1 Programas Leitores de E-mails . . . . . . . . . . . . . . . . . . . . . . . . . 88 B.2.2 Browsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 B.2.3 Programas de troca de mensagens . . . . . . . . . . . . . . . . . . . . . . . 89 B.2.4 ¸˜ Programas de distribuicao de arquivos . . . . . . . . . . . . . . . . . . . . . 89 B.2.5 Compartilhamento de recursos . . . . . . . . . . . . . . . . . . . . . . . . . 90 B.2.6 C´ pias de seguranca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . o ¸ 90 B.3 Fraude . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 B.3.1 Engenharia social . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 B.3.2 ¸˜ Cuidados ao realizar transacoes banc´ rias ou comerciais . . . . . . . . . . . a 90 B.3.3 Boatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4 Privacidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4.1 E-mails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4.2 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 B.4.3 Cuidados com dados pessoais em p´ ginas Web, blogs e sites de redes de rela- a cionamentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 B.4.4 Cuidados com os dados armazenados em um disco r´gido . . . . . . . . . . . ı 92 B.4.5 Cuidados com telefones celulares, PDAs e outros aparelhos com bluetooth . 92 B.5 Banda Larga e Redes Sem Fio (Wireless) . . . . . . . . . . . . . . . . . . . . . . . . 92 B.5.1 ¸˜ Protecao de um computador utilizando banda larga . . . . . . . . . . . . . . 92 B.5.2 ¸˜ Protecao de uma rede utilizando banda larga . . . . . . . . . . . . . . . . . 93
  16. 16. ´Sumario xvii B.5.3 Cuidados com um cliente de rede sem fio . . . . . . . . . . . . . . . . . . . 93 B.5.4 Cuidados com uma rede sem fio dom´ stica . . . . . . . . . . . . . . . . . . e 94 B.6 Spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 B.7 Incidentes de Seguranca e Uso Abusivo da Rede . . . . . . . . . . . . . . . . . . . . ¸ 94 B.7.1 Registros de eventos (logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 B.7.2 ¸˜ Notificacoes de incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Apˆ ndice C: Dicas e 95
  17. 17. Lista de Figuras 2.1 Exemplos de ´cones para recursos compartilhados. . . . . . . . . . . . . . . . . . . ı 22 4.1 https - identificando site com conex˜ o segura. . . . . . . . . . . . . . . . . . . . . . a 42 4.2 Cadeado – identificando site com conex˜ o segura. . . . . . . . . . . . . . . . . . . a 42 4.3 Cadeado forjado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 xix
  18. 18. Parte I: Conceitos de Seguranca ¸ Esta parte da Cartilha apresenta conceitos de seguranca de computadores, onde s˜ o abordados ¸ a ` ¸˜temas relacionados as senhas, engenharia social, malware, vulnerabilidade, ataques de negacao deservico, criptografia e certificados digitais. Os conceitos aqui apresentados s˜ o importantes para o ¸ aentendimento de partes subseq¨ entes desta Cartilha. u1.1 Seguranca de Computadores ¸ ´ Um computador (ou sistema computacional) e dito seguro se este atende a trˆ s requisitos b´ sicos e arelacionados aos recursos que o comp˜ em: confidencialidade, integridade e disponibilidade. o ¸˜ o a A confidencialidade diz que a informacao s´ est´ dispon´vel para aqueles devidamente autoriza- ı ¸˜ a ´dos; a integridade diz que a informacao n˜ o e destru´da ou corrompida e o sistema tem um desempe- ınho correto, e a disponibilidade diz que os servicos/recursos do sistema est˜ o dispon´veis sempre que ¸ a ıforem necess´ rios. a ¸˜ Alguns exemplos de violacoes a cada um desses requisitos s˜ o: aConfidencialidade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e lˆ todas as informa- e e a e ¸˜ ¸˜ coes contidas na sua declaracao de Imposto de Renda;Integridade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e altera informacoes da sua e e a ¸˜ ¸˜ a ` declaracao de Imposto de Renda, momentos antes de vocˆ envi´ -la a Receita Federal; eDisponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao ¸˜ ¸ e ¸˜ de servico e por este motivo vocˆ fica impossibilitado de enviar sua declaracao de Imposto de Renda a` Receita Federal.1.1.1 Por que devo me preocupar com a seguranca do meu computador? ¸ e a u ¸˜ Computadores dom´ sticos s˜ o utilizados para realizar in´ meras tarefas, tais como: transacoes fi- a ¸ ¸˜nanceiras, sejam elas banc´ rias ou mesmo compra de produtos e servicos; comunicacao, por exemplo,atrav´ s de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. e ´ E importante que vocˆ se preocupe com a seguranca de seu computador, pois vocˆ , provavelmente, e ¸ en˜ o gostaria que: a • suas senhas e n´ meros de cart˜ es de cr´ dito fossem furtados e utilizados por terceiros; u o e 1
  19. 19. 2 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ • sua conta de acesso a Internet fosse utilizada por algu´ m n˜ o autorizado; e a • seus dados pessoais, ou at´ mesmo comerciais, fossem alterados, destru´dos ou visualizados e ı por terceiros; • seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.1.1.2 Por que algu´ m iria querer invadir meu computador? e a ´ A resposta para esta pergunta n˜ o e simples. Os motivos pelos quais algu´ m tentaria invadir seu ecomputador s˜ o in´ meros. Alguns destes motivos podem ser: a u • utilizar seu computador em alguma atividade il´cita, para esconder a real identidade e localiza- ı ¸˜ cao do invasor; • utilizar seu computador para lancar ataques contra outros computadores; ¸ • utilizar seu disco r´gido como reposit´ rio de dados; ı o • destruir informacoes (vandalismo); ¸˜ • disseminar mensagens alarmantes e falsas; • ler e enviar e-mails em seu nome; • propagar v´rus de computador; ı • furtar n´ meros de cart˜ es de cr´ dito e senhas banc´ rias; u o e a • furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por vocˆ ; e • furtar dados do seu computador, como por exemplo, informacoes do seu Imposto de Renda. ¸˜1.2 Senhas Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar ´ ¸˜o usu´ rio, ou seja, e utilizada no processo de verificacao da identidade do usu´ rio, assegurando que a a ´este e realmente quem diz ser. Se uma outra pessoa tem acesso a sua senha, ela poder´ utiliz´ -la para se passar por vocˆ na a a eInternet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s˜ o: a • ler e enviar e-mails em seu nome; • obter informacoes sens´veis dos dados armazenados em seu computador, tais como n´ meros de ¸˜ ı u cart˜ es de cr´ dito; o e • esconder sua real identidade e ent˜ o desferir ataques contra computadores de terceiros. a ¸˜ ´ Portanto, a senha merece consideracao especial, afinal ela e de sua inteira responsabilidade.
  20. 20. Parte I: Conceitos de Seguranca ¸ 3 ¸˜1.2.1 O que n˜ o se deve usar na elaboracao de uma senha? a Nomes, sobrenomes, n´ meros de documentos, placas de carros, n´ meros de telefones e datas1 u udever˜ o estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa a ¸˜mal intencionada, possivelmente, utilizaria este tipo de informacao para tentar se autenticar comovocˆ . e Existem v´ rias regras de criacao de senhas, sendo que uma regra muito importante e jamais utili- a ¸˜ ´zar palavras que facam parte de dicion´ rios. Existem softwares que tentam descobrir senhas combi- ¸ anando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion´ rios) ae listas de nomes (nomes pr´ prios, m´ sicas, filmes, etc.). o u ´1.2.2 O que e uma boa senha? Uma boa senha deve ter pelo menos oito caracteres2 (letras, n´ meros e s´mbolos), deve ser simples u ıde digitar e, o mais importante, deve ser f´ cil de lembrar. a Normalmente os sistemas diferenciam letras mai´ sculas das min´ sculas, o que j´ ajuda na com- u u a ¸˜posicao da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” s˜ o senhas diferentes. aEntretanto, s˜ o senhas f´ ceis de descobrir utilizando softwares para quebra de senhas, pois n˜ o pos- a a a u ı e ¸˜suem n´ meros e s´mbolos, al´ m de conter muitas repeticoes de letras.1.2.3 Como elaborar uma boa senha? Quanto mais “baguncada” for a senha melhor, pois mais dif´cil ser´ descobr´-la3 . Assim, tente ¸ ı a ı u u ¸˜misturar letras mai´ sculas, min´ sculas, n´ meros e sinais de pontuacao. Uma regra realmente pr´ tica u a ´e que gera boas senhas dif´ceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira, ı ´segunda ou a ultima letra de cada palavra. Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo ch˜ o” podemos gerar a ¸˜a senha “!BqnsepC” (o sinal de exclamacao foi colocado no in´cio para acrescentar um s´mbolo a ı ı `senha). Senhas geradas desta maneira s˜ o f´ ceis de lembrar e s˜ o normalmente dif´ceis de serem a a a ıdescobertas. Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha. e ´ Vale ressaltar que se vocˆ tiver dificuldades para memorizar uma senha forte, e prefer´vel anot´ -la ı ae guard´ -la em local seguro, do que optar pelo uso de senhas fracas. a1.2.4 Quantas senhas diferentes devo usar? Procure identificar o n´ mero de locais onde vocˆ necessita utilizar uma senha. Este n´ mero u e udeve ser equivalente a quantidade de senhas distintas a serem mantidas por vocˆ . Utilizar senhas e 1 Qualquer data que possa estar relacionada com vocˆ , como por exemplo a data de seu anivers´ rio ou de familiares. e a 2 Existem servicos que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif´cil ¸ ıser´ descobr´-la, portanto procure utilizar a senha de maior tamanho poss´vel. a ı ı 3 Observe que a senha “1qaz2wsx” parece ser suficientemente “baguncada”, mas n˜ o e considerada uma boa senha, ¸ a ´ `pois est´ associada a proximidade entre esses caracteres no teclado. a
  21. 21. 4 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ ´diferentes, uma para cada local, e extremamente importante, pois pode atenuar os preju´zos causados, ıcaso algu´ m descubra uma de suas senhas. e a e ´ Para ressaltar a importˆ ncia do uso de senhas diferentes, imagine que vocˆ e respons´ vel por a ¸˜realizar movimentacoes financeiras em um conjunto de contas banc´ rias e todas estas contas possuem aa mesma senha. Ent˜ o, procure responder as seguintes perguntas: a • Quais seriam as conseq¨ encias se algu´ m descobrisse esta senha? uˆ e • E se fossem usadas senhas diferentes para cada conta, caso algu´ m descobrisse uma das senhas, e ı ı ¸˜ um poss´vel preju´zo teria a mesma proporcao? ¨e1.2.5 Com que frequˆ ncia devo mudar minhas senhas? Vocˆ deve trocar suas senhas regularmente, procurando evitar per´odos muito longos. Uma su- e ı a ´gest˜ o e que vocˆ realize tais trocas a cada dois ou trˆ s meses. e e Procure identificar se os servicos que vocˆ utiliza e que necessitam de senha, quer seja o acesso ¸ eao seu provedor, e-mail, conta banc´ ria, ou outro, disponibilizam funcionalidades para alterar senhas ae use regularmente tais funcionalidades. Caso vocˆ n˜ o possa escolher sua senha na hora em que contratar o servico, procure troc´ -la com e a ¸ aa maior urgˆ ncia poss´vel. Procure utilizar servicos em que vocˆ possa escolher a sua senha. e ı ¸ e Lembre-se que trocas regulares s˜ o muito importantes para assegurar a confidencialidade de suas asenhas.1.2.6 Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e dif´cil de ser descoberta, se ao usar a senha ıalgu´ m puder vˆ -la. Existem v´ rias maneiras de algu´ m poder descobrir a sua senha. Dentre elas, e e a ealgu´ m poderia: e • observar o processo de digitacao da sua senha; ¸˜ • utilizar algum m´ todo de persuas˜ o, para tentar convencˆ -lo a entregar sua senha (vide se- e a e ¸˜ cao 1.4.1); • capturar sua senha enquanto ela trafega pela rede. ¸˜ ´ ` Em relacao a este ultimo caso, existem t´ cnicas que permitem observar dados, a medida que estes etrafegam entre redes. E ´ poss´vel que algu´ m extraia informacoes sens´veis desses dados, como por ı e ¸˜ ı ¸˜exemplo senhas, caso n˜ o estejam criptografados (vide secao 1.8). a Portanto, alguns dos principais cuidados que vocˆ deve ter com suas senhas s˜ o: e a • certifique-se de n˜ o estar sendo observado ao digitar a sua senha; a • n˜ o forneca sua senha para qualquer pessoa, em hip´ tese alguma; a ¸ o
  22. 22. Parte I: Conceitos de Seguranca ¸ 5 • n˜ o utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de a ¸˜ eventos, etc) em operacoes que necessitem utilizar suas senhas; • certifique-se que seu provedor disponibiliza servicos criptografados, principalmente para aque- ¸ les que envolvam o fornecimento de uma senha.1.2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) a em um computador? ´ O usu´ rio Administrator (ou root) e de extrema importˆ ncia, pois det´ m todos os privil´ gios em a a e e ¸˜um computador. Ele deve ser usado em situacoes onde um usu´ rio normal n˜ o tenha privil´ gios para a a e ¸˜realizar uma operacao, como por exemplo, em determinadas tarefas administrativas, de manutencao ¸˜ ¸˜ ¸˜ou na instalacao e configuracao de determinados tipos de software. Sabe-se que, por uma quest˜ o de comodidade e principalmente no ambiente dom´ stico, muitas a epessoas utilizam o usu´ rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele a´ `e usado para se conectar a Internet, navegar utilizando o browser, ler e-mails, redigir documentos,etc. Este e um procedimento que deve ser sempre evitado, pois vocˆ , como usu´ rio Administrator (ou ´ e aroot), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacio-nal ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamenteum software malicioso que, como usu´ rio Administrator (ou root), teria todos os privil´ gios que ne- a ecessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que vocˆ deve ter s˜ o: e a • elaborar uma boa senha para o usu´ rio Administrator (ou root), como discutido na secao 1.2.3, a ¸˜ ¸˜ e seguir os procedimentos descritos na secao 1.2.6; • utilizar o usu´ rio Administrator (ou root) somente quando for estritamente necess´ rio; a a • criar tantos usu´ rios com privil´ gios normais, quantas forem as pessoas que utilizam seu com- a e putador, para substituir assim o usu´ rio Administrator (ou root) em tarefas rotineiras, como a ¸˜ ¸˜ leitura de e-mails, navegacao na Internet, producao de documentos, etc.1.3 Cookies a ¸˜ Cookies s˜ o pequenas informacoes que os sites visitados por vocˆ podem armazenar em seu ebrowser. Estes s˜ o utilizados pelos sites de diversas formas, tais como: a • guardar a sua identificacao e senha quando vocˆ vai de uma p´ gina para outra; ¸˜ e a • manter listas de compras ou listas de produtos preferidos em sites de com´ rcio eletrˆ nico; e o • personalizar sites pessoais ou de not´cias, quando vocˆ escolhe o que quer que seja mostrado ı e nas p´ ginas; a
  23. 23. 6 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ • manter a lista das p´ ginas vistas em um site, para estat´stica ou para retirar as p´ ginas que vocˆ a ı a e n˜ o tem interesse dos links. a A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumassugest˜ es para que se tenha maior controle sobre eles. o1.4 Engenharia Social ´ O termo e utilizado para descrever um m´ todo de ataque, onde algu´ m faz uso da persuas˜ o, e e a ¸ a ¸˜muitas vezes abusando da ingenuidade ou confianca do usu´ rio, para obter informacoes que podem ¸˜ser utilizadas para ter acesso n˜ o autorizado a computadores ou informacoes. a1.4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? e Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O´ultimo exemplo apresenta um ataque realizado por telefone.Exemplo 1: vocˆ recebe uma mensagem e-mail, onde o remetente e o gerente ou algu´ m em nome e ´ e do departamento de suporte do seu banco. Na mensagem ele diz que o servico de Internet Bank- ¸ ing est´ apresentando algum problema e que tal problema pode ser corrigido se vocˆ executar a e ` ¸˜ o aplicativo que est´ anexado a mensagem. A execucao deste aplicativo apresenta uma tela a ` an´ loga aquela que vocˆ utiliza para ter acesso a conta banc´ ria, aguardando que vocˆ digite a e a e sua senha. Na verdade, este aplicativo est´ preparado para furtar sua senha de acesso a conta a banc´ ria e envi´ -la para o atacante. a aExemplo 2: vocˆ recebe uma mensagem de e-mail, dizendo que seu computador est´ infectado por e a um v´rus. A mensagem sugere que vocˆ instale uma ferramenta dispon´vel em um site da ı e ı ¸˜ a ´ Internet, para eliminar o v´rus de seu computador. A real funcao desta ferramenta n˜ o e eliminar ı um v´rus, mas sim permitir que algu´ m tenha acesso ao seu computador e a todos os dados nele ı e armazenados.Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t´ cnico do seu provedor. e ¸˜ Nesta ligacao ele diz que sua conex˜ o com a Internet est´ apresentando algum problema e, a a ent˜ o, pede sua senha para corrig´-lo. Caso vocˆ entregue sua senha, este suposto t´ cnico a ı e e poder´ realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques t´picos de engenharia social, pois os discursos apresentados nos ıexemplos procuram induzir o usu´ rio a realizar alguma tarefa e o sucesso do ataque depende unica e a ´exclusivamente da decis˜ o do usu´ rio em fornecer informacoes sens´veis ou executar programas. a a ¸˜ ı A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.
  24. 24. Parte I: Conceitos de Seguranca ¸ 71.5 Vulnerabilidade ´ ¸˜ ¸˜ Vulnerabilidade e definida como uma falha no projeto, implementacao ou configuracao de um soft- ¸˜ware ou sistema operacional que, quando explorada por um atacante, resulta na violacao da seguranca ¸de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode con- ¸˜ter uma vulnerabilidade que permite sua exploracao remota, ou seja, atrav´ s da rede. Portanto, um e `atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n˜ o autorizado ao acomputador vulner´ vel. a ¸˜ A Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao apresenta algumas e ¸˜ ¸˜ ¸˜formas de identificacao de vulnerabilidades, bem como maneiras de prevencao e correcao.1.6 C´ digos Maliciosos (Malware) o o ´ C´ digo malicioso ou Malware (Malicious Software) e um termo gen´ rico que abrange todos os e ¸˜tipos de programa especificamente desenvolvidos para executar acoes maliciosas em um computador. e ´Na literatura de seguranca o termo malware tamb´ m e conhecido por “software malicioso”. ¸ Alguns exemplos de malware s˜ o: a • v´rus; ı • worms e bots; • backdoors; • cavalos de tr´ ia; o • keyloggers e outros programas spyware; • rootkits. ¸˜ A Parte VIII: C´ digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identi- o ¸˜ ¸˜ficacao e prevencao para os diversos tipos de c´ digo malicioso. o1.7 ¸˜ Negacao de Servico (Denial of Service) ¸ Nos ataques de negacao de servico (DoS – Denial of Service) o atacante utiliza um computador ¸˜ ¸ ¸˜ `para tirar de operacao um servico ou computador conectado a Internet. ¸ Exemplos deste tipo de ataque s˜ o: a • gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usu´ rio n˜ o consiga utiliz´ -lo; a a a
  25. 25. 8 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ • gerar um grande tr´ fego de dados para uma rede, ocupando toda a banda dispon´vel, de modo a ı que qualquer computador desta rede fique indispon´vel; ı • tirar servicos importantes de um provedor do ar, impossibilitando o acesso dos usu´ rios a suas ¸ a caixas de correio no servidor de e-mail ou ao servidor Web. ´1.7.1 O que e DDoS? ¸˜ DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribu´do, ¸ ıou seja, um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou ´ ¸˜ ¸ `computadores conectados a Internet. Normalmente estes ataques procuram ocupar toda a banda dispon´vel para o acesso a um com- ı a e ¸˜putador ou rede, causando grande lentid˜ o ou at´ mesmo indisponibilizando qualquer comunicacaocom este computador ou rede.1.7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? a a ´ N˜ o. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores, e n˜ o a ´invad´-los. E importante notar que, principalmente em casos de DDoS, computadores comprometidos ı ¸˜podem ser utilizados para desferir os ataques de negacao de servico. ¸ Um exemplo deste tipo de ataque ocorreu no in´cio de 2000, onde computadores de v´ rias partes ı ado mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com´ rcio eeletrˆ nico. Estas empresas n˜ o tiveram seus computadores comprometidos, mas sim ficaram impos- o asibilitadas de vender seus produtos durante um longo per´odo. ı1.8 Criptografia ´ ´ Criptografia e a ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. E parte de e o ¸˜um campo de estudos que trata das comunicacoes secretas, usadas, dentre outras finalidades, para: • autenticar a identidade de usu´ rios; a • autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc´ rias; ¸˜ ¸˜ a • proteger a integridade de transferˆ ncias eletrˆ nicas de fundos. e o Uma mensagem codificada por um m´ todo de criptografia deve ser privada, ou seja, somente eaquele que enviou e aquele que recebeu devem ter acesso ao conte´ do da mensagem. Al´ m disso, u euma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o ´remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode tersido modificada.
  26. 26. Parte I: Conceitos de Seguranca ¸ 9 Os m´ todos de criptografia atuais s˜ o seguros e eficientes e baseiam-se no uso de uma ou mais e achaves. A chave e uma seq¨ encia de caracteres, que pode conter letras, d´gitos e s´mbolos (como ´ uˆ ı ı ´uma senha), e que e convertida em um n´ mero, utilizado pelos m´ todos de criptografia para codificar u ee decodificar mensagens. Atualmente, os m´ todos criptogr´ ficos podem ser subdivididos em duas grandes categorias, de e a ´ ¸˜acordo com o tipo de chave utilizada: a criptografia de chave unica (vide secao 1.8.1) e a criptografia ¸˜de chave p´ blica e privada (vide secao 1.8.2). u ´ ´1.8.1 O que e criptografia de chave unica? ´ A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar ¸˜mensagens. Apesar deste m´ todo ser bastante eficiente em relacao ao tempo de processamento, ou eseja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a ne- ¸˜cessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou ¸˜entidades que desejem trocar informacoes criptografadas. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo da chave e o ı´ ¸˜unica podem ser vistos nas secoes 1.8.4 e 1.8.5, respectivamente. ´ ´1.8.2 O que e criptografia de chaves publica e privada? A criptografia de chaves p´ blica e privada utiliza duas chaves distintas, uma para codificar e uoutra para decodificar mensagens. Neste m´ todo cada pessoa ou entidade mant´ m duas chaves: uma e ep´ blica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo useu dono. As mensagens codificadas com a chave p´ blica s´ podem ser decodificadas com a chave u oprivada correspondente. Seja o exemplo, onde Jos´ e Maria querem se comunicar de maneira sigilosa. Ent˜ o, eles ter˜ o e a aque realizar os seguintes procedimentos: 1. Jos´ codifica uma mensagem utilizando a chave p´ blica de Maria, que est´ dispon´vel para o e u a ı uso de qualquer pessoa; 2. Depois de criptografada, Jos´ envia a mensagem para Maria, atrav´ s da Internet; e e ´ 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que e apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever´ realizar o mesmo procedimento, mas utilizando a a chave p´ blica de Jos´ . u e ¸˜ Apesar deste m´ todo ter o desempenho bem inferior em relacao ao tempo de processamento, e ´ ¸˜quando comparado ao m´ todo de criptografia de chave unica (secao 1.8.1), apresenta como principal e ¸˜vantagem a livre distribuicao de chaves p´ blicas, n˜ o necessitando de um meio seguro para que chaves u a ¸˜sejam combinadas antecipadamente. Al´ m disso, pode ser utilizado na geracao de assinaturas digitais, e ¸˜como mostra a secao 1.8.3. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo das e o ı ¸˜chaves p´ blica e privada podem ser vistos nas secoes 1.8.4 e 1.8.5, respectivamente. u

×