Segurança fácil para utilizadores domésticos

Set 2008

Segurança fácil para utilizadores domésticos

A segurança é sempre um factor a ponderar, quando lidamos com informação sensível. Ninguém quer que, de um momento para o outro, todo o mundo fique a saber detalhes financeiros ou mesmo da nossa vida íntima. A segurança oferece uma camada de protecção para que essa informação não caia nas mãos erradas.

Porém, muitos utilizadores de informática não aplicam convenientemente um esquema de segurança que lhes permita ter um balanço entre uma utilização normal do computador e a informação segura. Com esta análise, não pretendo sugerir mil e um produtos de segurança; pretendo fazer as pessoas darem uso ao melhor sistema de segurança que têm, o bom senso.

O bom senso é a arma ideal de combate aos vírus e ameaças, e já vamos ver porquê. Muitas vezes um utilizador tem um antivírus, mas queixa-se de ter vírus frequentemente. Outras pessoas, queixam-se de ter as credenciais de login alteradas, ou mesmo movimentos bancários suspeitos. Estas ameaças giram à volta de um tema na segurança informática que se chama Engenharia Social.

Vejamos então em detalhe: a Engenharia Social consiste em enganar os utilizadores de computadores, de modo a estes darem acesso aos seus detalhes privados. Assim dito, parece uma coisa difícil, mas é mais fácil do que se julga, vejamos um exemplo típico: um utilizador que costuma utilizar o serviço de homebanking vê-se confrontado com um e-mail, aparentemente legítimo, da sua entidade financeira, em que esta lhe pede as credenciais de login para confirmar a conta, com risco de esta ser fechada, caso não siga as instruções.

Na situação, o utilizador é de imediato pressionado para fornecer os seus detalhes. Aliada a essa pressão, está também a aparente legitimidade do e-mail; a vítima é convencida a clicar no link que lhe é proposto. O erro começa aqui: o endereço de origem no e-mail até pode ser o correcto (este endereço pode ser facilmente falsificado), mas em alguns browsers e clientes de Internet, se colocarmos o cursor por cima da ligação e olharmos para a barra inferior do programa (barra de estado), vemos que o endereço não é o mesmo, e muitas vezes nem tem nada a ver com a instituição bancária. O que quero ilustrar com este exemplo? A sensação de segurança que estas ameaças pretendem dar ao utilizador, de modo a que esteja não esteja comprometido com um estranho a pedir-lhe informações sensíveis; porém, não são completamente infalíveis!

Outro exemplo muito comum é a utilização de temas que permitam às pessoas alcançar o “sucesso” de forma “fácil e rápida”, por exemplo, sexo, esquemas de ganhar dinheiro, vendas de produtos raros (e muita vezes ilegais). Pegando noutro exemplo que não referi, as batotas (cheats) para jogos online: os utilizadores de jogos online muitas vezes procuram alternativas de forma a conseguirem ganhar mais pontuação/vantagem nos seus jogos. Como tal, pessoas com objectivos maliciosos disponibilizam “programas” que alegam dar a vantagem X no jogo Y. Muitos deles até funcionam e são gratuitos. Mas será que é esse o único objectivo do programa? Terá o criador do mesmo adicionado alguns “extras” na aplicação? Ninguém sabe, só o próprio… E porque será que muitos deles necessitam das credenciais de acesso ao jogo? Será apenas para fazer as “alterações” necessárias? Ou haverá mais alguma intenção?

Vistos alguns perigos, vamos passar a algumas das práticas aconselhadas na segurança da informação:

Nem tudo o que luz é ouro. Muitos são os websites que prometem “sucesso”. Mas afinal, se chegar ao sucesso é tão fácil como sugerido, porque é que nem toda a gente segue esse esquema? Porque é que nem todos atingem o sucesso?
Utilizar convenientemente os mecanismos de segurança que temos ao nosso dispor. Nem sempre um bom antivírus é suficiente. Por isso, é sempre recomendado ter a opinião de um amigo que perceba do assunto, ou de websites com o VirusTotal que analisam ficheiros em busca de vírus desconhecidos. Muitas empresas colocam também práticas e instruções de segurança que deve seguir atentamente. No caso de software de segurança, corra-o regularmente, uma vez por semana será bom (por exemplo, quando sair ou tiver outra tarefa para fazer sem requerer o computador, deixe-o a fazer a análise, no fim terá os resultados à sua espera).
Verificar sempre endereços web para onde nos querem mandar. No caso da web, é sempre útil ver o endereço real para onde querem que os nosso dados sejam enviados. Existem várias técnicas, entre as quais a mais eficaz ainda é fazer clique com o botão direito do rato na ligação e escolher a opção “propriedades”. Normalmente, é apresentada a ligação real. Se esta for suspeita, dirija-se ao Apoio ao Cliente da entidade oficial e de certo que não se sentiram incomodados ao ajudá-lo: pelo contrário, será de todo o interesse indicar-lhe qual o melhor caminho a seguir.
Nunca partilhar o e-mail com entidades desconhecidas. Partilhar o seu e-mail pessoal num website em que não tenha confiança, ou num fórum público é o mesmo que deixar a porta de sua casa aberta. Com o seu endereço de e-mail, é possível ter acesso a qualquer conta online que esteja inscrita. Talvez até do seu banco! É essencial asseguramo-nos que o endereço se mantém privado. Até é preferível criar um e-mail para coisas menos importantes e manter um e-mail privado para as contas de maior importância.
Não partilhar credenciais de login com outras pessoas, mesmo que conhecidas. Regra geral, ninguém precisa dos seus dados de acesso, nem mesmo serviços de Apoio ao Cliente. Estes últimos têm acesso restrito aos dados suficientes para o poderem ajudar nas suas questões. Mesmo partilhando as suas credenciais com uma pessoa de confiança, esta pode distrair-se, ou cometer alguma asneira, deixando por exemplo a sessão ligada num computador público.
Não aceitar ficheiros de origem desconhecida, ou ficheiros duvidosos. Os serviços de mensagem instantânea estão a ser um meio de distribuição de vírus bastante popular. Basta um amigo da nossa lista ficar infectado com um vírus, para este rapidamente se disseminar por todos os contactos. Normalmente este tipo de vírus são fáceis de reconhecer, por terem um idioma diferente do que utilizamos, ou traduções más, acompanhadas de um link, ou de um ficheiro, normalmente em formato EXE para descarregar.
Pensar antes de agir. A regra número 0. Na Internet não há pressas. Se gastarmos um tempo a pensar antes de clicar sim ou não, percebemos de imediato o ponto da situação. Aliás, se essa decisão não fosse tão importante, o próprio computador não “incomodava” com a pergunta. Janelas que apareçam do nada, com um idioma diferente da aplicação original (exemplo de uma mensagem de sistema em inglês, e ter o Sistema Operativo em Português), aspecto estranho, etc, normalmente trazem sarilhos, e precisam de ser vistos atentamente.

Espero que tenham ficado elucidados com esta breve análise sobre alguns perigos actuais da segurança informática. É sempre bom recordar que estes não são os únicos esquemas maliciosos para aceder a informações privadas. Existem muitos mais que seria impossível descrever aqui. Vejamos o seguinte: se um utilizador tiver os cuidados básicos, como verificar as ligações para onde o pretendem levar, informar-se bem do que está a fazer, e pensar um pouco antes de “clicar ali”, só porque nos pedem insistentemente, é meio caminho andado para não ser infectado por qualquer tipo de vírus.

Afinal, não são só os nerds que têm de perceber de segurança. Qualquer utilizador se deve preocupar, de forma sensata, com a sua informação. Como ponto final, é bom pensar em termos os nossos dados seguros, mas devemos fazê-lo de forma a que a utilização do computador não se torne enfadonha ou difícil, mas sim divertida e proveitosa, sabendo que os nossos dados estão em segurança, sem complicações! Com software de segurança aliado a bom senso, será muito difícil ter de se preocupar com vírus outra vez!