Cartilha de Segurança da Informação para usuários não técnicos

Por Bruno Salgado

Não só profissionais de TI e grandes corporações são alvos de ataques pela Internet. Qualquer usuário que tenha uma simples conexão caseira com a grande rede e não tome as devidas precauções está passível de ter seu computador comprometido.

Com o avanço do comércio eletrônico, atacantes buscam sistemas vulneráveis onde possam coletar senhas de banco, números de cartão de crédito e outros dados sigilosos. Além disso, uma vez que a máquina foi invadida, o atacante pode assumir total controle sobre o sistema e usá-lo como ponte para atividades ilícitas, como ataques automatizados ou até repositório para todo e qualquer tipo de arquivo e senhas roubadas.

O Blog SegInfo disponibiliza aqui uma cartilha simplificada voltada especialmente para usuários não-técnicos. Nela, são apresentados breves lembretes com sugestões de softwares, dicas e boas práticas recomendadas para garantir a segurança de seus sistemas. Confira a seguir.

Passo 1 – Firewall

• Após a instalação do seu sistema operacional[1] (seja ele Windows, Linux ou MacOS), verifique se o firewall[2] está ativado. Esse programa irá operar como uma barreira extra de proteção contra possíveis acessos maliciosos no seu sistema. Além disso, certifique-se de baixar programas apenas de fontes conhecidas, pois é comum que alguns softwares solicitem permissão para abrir exceções nas regras do seu firewall. Portanto, lembre-se, todo cuidado é pouco!

Passo 2 – Mantenha seu sistema Atualizado

• Novas ameaças e vulnerabilidades são descobertas todos os dias. Logo, para proteger-se destas você deve manter seu sistema operacional e seus aplicativos sempre atualizados.

• Procure por atualizações automáticas diretamente nas opções do software ou sistema operacional, ou baixe as atualizações regularmente a partir do fornecedor oficial. Sempre dê preferência para o site oficial do fornecedor.

• Mantenha-se informado! Assine e acompanhe maillists, e sites onde são divulgadas falhas e vulnerabilidades. O Blog SegInfo (http://www.seginfo.com.br) é uma boa opção.

Passo 3 – Cuidados com suas senhas

• Não divulgue e nem compartilhe – a senha é sua e de mais ninguém.

• Não escreva sua senha em local público ou de fácil acesso.

• Não deixe sua senha visível ao digitá-la, muito menos na presença de desconhecidos.

• Nunca use palavras de dicionários ou dados pessoais como senha.

• Crie senhas com mais de oito caracteres e que misture letras maiúsculas, minúsculas, números e caracteres especiais.

• Mude de senha regularmente, principalmente se utilizar máquinas administradas por pessoas que não sejam de sua confiança.

• Utilize um gerenciador de senhas. O KeePass é uma boa alternativa.

Passo 4 – Antivírus[5] e antispyware[6]

• Configure seu antivírus para procurar por atualizações sempre que seu computador estiver conectado à Internet.

• Faça pelo menos uma varredura completa no sistema por semana.

• Use seu antivírus em todo arquivo baixado antes de executá-lo, assim como em toda mídia removível conectada. Se possível, configure essas verificações para que sejam feitas automaticamente, bem como as demais verificações passíveis de execução pelo software.

• Use o antispyware[6] como uma ferramenta auxiliar do antivírus, pois muitas aplicações maliciosas conseguem burlar o antivírus para espionar e acessar seus dados. Prevenção nunca é demais!

• Não utilize mais de um software antivírus simultaneamente, pois as aplicações podem entrar em conflito e o resultado pode acabar sendo exatamente o oposto do pretendido.

Passo 5 – Navegando na internet

• Utilize no navegador o bloqueador nativo de scripts ou use complementos que realizem tal atividade. Só autorize a execução de scripts de sites de sua confiança.

• Permita somente a execução de programas Java[7] e de ActiveX[8] de sua confiança.

• É recomendável uma limpeza esporádica dos cookies[9] do seu navegador.

• Ao acessar contas bancárias ou demais sites onde ocorra a troca de informações de dados sensíveis, lembre-se sempre de verificar a existência de conexão segura e de analisar o certificado digital (procure pelo cadeado no navegador e um informativo de certificado digital). Lembre-se sempre também de digitar o endereço destino, e nunca usar os links enviados por terceiros, tais como oriundos de e-mail, mensageiros instantâneos, etc.

• Em qualquer interação pela internet, seja por redes sociais,  fóruns ou WhatsApp, use sempre o seu bom senso para determinar quais informações serão passadas por esses canais, assim como para tratar as informações recebidas. Além disso, é recomendável se comunicar apenas com pessoas conhecidas. Evitar a exposição dos seus dados pessoais na internet é muito importante, pois criminosos podem utilizá-los para abertura de contas bancárias, compras online, ou ainda podem tentar se passar por você a fim de obter algum benefício.

Passo 6 – Sempre use criptografia

• Mantenha o hábito de manter seus arquivos, principalmente quando armazenados em notebooks e mídia móveis (como pendrive, por exemplo), criptografados. Para facilitar esse processo existem programas que além de encriptar cada arquivo individualmente, também criam volumes ou containers encriptados, para um grande número de dados e/ou arquivos. Uma alternativa de programas de encriptação é o TrueCrypt.

• Embora a criptografia originalmente tenha sido criada para proteger dados, muitos cibercriminosos estão utilizando esse mecanismo para “sequestrar” seus dados. Isto é, criptografar seus arquivos sem seu consentimento, tornando-os inacessíveis e, requisitando ainda, uma quantia em dinheiro para resgatar seus arquivos. Caso você seja vítima desse tipo de golpe, não pague o valor solicitado, pois nada garante que você terá seus arquivos de volta. Procure ajuda de algum técnico.

Passo 7 – Correio eletrônico

• Passe sempre o antivírus em programas e arquivos em geral vindos por email, mesmo de fontes confiáveis.

• Verifique a procedência de emails com anexos duvidosos (de bancos, lojas ou provedores de serviços), observando o cabeçalho completo da mensagem. Caso utilize cliente de e-mail, configure-o para não executar automaticamente programas ou scripts.

• Mesmo que tenha utilizado o antivírus, evite abrir arquivos enviados por fontes não confiáveis. Verifique se o remetente é mesmo quem diz ser.

• Desconfie MUITO de arquivos executáveis recebidos (.exe, .bat, .zip), mesmo vindo de fontes confiáveis.

• Verifique a veracidade das informações e use sempre seu bom senso antes de repassar. O bom senso nessas horas será sua principal ferramenta.

• Cuidado ao visualizar imagens armazenadas externamente aos e-mails. Com esse ato, o remetente do e-mail tem a possibilidade de descobrir sua localização na Internet (endereço IP[10]), além de outras informações sobre sua máquina, como o sistema operacional e sua versão, por exemplo.

Passo 8 – Baixando Programas

• Baixe programas apenas do fornecedor oficial, ou de sites ou torrents[4] referenciados pelos mesmos.

• Se o programa for desconhecido por você, informe-se sobre o mesmo em páginas de busca e sites especializados antes de baixa-lo ou executa-lo. Em caso de dúvidas, procure um técnico.

• Sempre verifique através do antivírus os arquivos antes de executá-los pela primeira vez ou instalá-los, independente da origem ou indicação.

Passo 9 – Proteja seus dados pessoais

• Nunca forneça informações sensíveis em sites sem que você tenha solicitado o serviço que o exige, e o faça somente se confiar no site e se o mesmo estiver utilizando criptografia (procure pelo cadeado no navegador e um informativo de certificado digital).

• Evite fazer cadastros em sites de venda desconhecidos pela Internet, especialmente fornecendo seus dados pessoais, pois muitas pequenas e médias empresas possuem pouco ou nenhum tipo de segurança para armazenar e proteger seus dados.

• Cuidado aos disponibilizar informações muito pessoais em sites de relacionamento (telefones móveis, endereços residenciais etc).

Passo 10 – Faça backups

• Agende regularmente cópias de reserva (backup) de todos os seus dados importantes.

• Pense nas coisas que realmente lhe fariam falta caso perdesse tudo e cuide para que isso não aconteça.

• Discos rígidos, pendrives e CDs também dão defeito! Tenha sempre cópias redundantes e jamais confie em apenas uma mídia para armazenar seus dados mais importantes. Diante disto, opte por salvar seus dados em servidores de armazenamento em nuvem[11]. Atualmente diversas corporações dispõem desse serviço gratuitamente, como Google, Microsoft e Dropbox, por exemplo.

Passo 11 – Segurança Física

• Tenha um filtro de linha com suporte a queda de energia (no-break). Se não for possível, use ao menos um filtro de linha comum.

• Mantenha seu computador e cabos protegidos contra quedas e esbarrões.

• Mantenha seu computador e suas mídias (como pendrives, DVDs e HDs externos) em local seco, arejado, longe do calor, e sempre protegidos de fontes eletromagnéticas fortes.

Passo 12 – O mais importante

• Use sempre seu bom senso.

• O passo 1 não necessariamente vem antes do passo 4, e o passo 9 não necessariamente depois do passo 2. Essa cartilha é um guia, que contém uma série de sugestões, não uma regra ou uma verdade incontestável. Gostaria de opinar/criticar/sugerir/compartilhar? Será uma honra!

Agradecimentos: Mauricio Martins, Monteiro Junior e Victor Santos.

Glossário

[1] Sistema Operacional: Programa que gerencia as funções básicas de um computador, armazenamento e recuperação de informações. Ex. Windows, da Microsoft, Macintosh da Apple e Linux.

[2] Firewall pessoal: Software ou programa utilizado para proteger um computador contra acessos não autorizados vindos da Internet. É um tipo específico de firewall constituído pela combinação de software e hardware, e utilizado para dividir e controlar o acesso entre redes de computadores.

[3] Vulnerabilidade: Falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.

[4] Torrent é a extensão de arquivos utilizada por um protocolo de transferência do tipo P2P (Peer to Peer). Essa transferência acontece da seguinte maneira: os arquivos transferidos são divididos em partes e cada pessoa que tem tal arquivo ajuda a fazer o upload a outros usuários. Isso reduz significantemente o consumo de banda do distribuidor original do arquivo, não sendo necessário que o mesmo fique armazenado num servidor.

[5] Antivírus: Software desenvolvido para detectar, anular e eliminar vírus e outros tipos de código malicioso de um computador.

[6] Anti-spyware: Software desenvolvido para combater spyware, adware, keyloggers entre outros programas espiões.

[7] Java: Linguagem de programação desenvolvida pela Sun Microsystems.

[8] Active-X: Linguagem de programação criada pela Microsoft que permite a inclusão de itens multimídia em páginas Web.

[9] Cookies: Conjunto de informações que um site escreve no disco rígido do computador do cliente, que pode ser usado para, por exemplo, armazenar as preferências do usuário para certos tipos de informação ou registrar informações relativa à sua visita no site.

[10] Endereço IP: É um número único para cada computador conectado à Internet, composto por uma sequência de 4 números que variam de 0 até 255, separados por um ponto. Por exemplo: 192.168.34.25.

[11] Armazenamento de dados que poderão ser acessados em qualquer hora e em qualquer lugar do mundo, bastando apenas ter acesso à Internet.