Conselhos B´asicos de Seguran¸ca

As principais regras que podem ajudar a minimizar os ataques inform´aticos e a torn´a-los menos perigosos, passam pelo utilizador, pela sua consciencializa¸c˜ao dos perigos, pelo cumprimento das pol´ıticas de seguran¸ca e pela necessidade deste se manter actualizado em rela¸c˜ao ao que se vai passando. Esta tarefa de actualiza¸c˜ao est´a cada vez mais facilitada, existindo na Internet imensa ajuda. Todos os sites de fornecedores de software tˆem uma ´area dedicada `a seguran¸ca onde podem ser consultados os seus conselhos e, inclusive, serem feitas actualiza¸c˜oes de software. Para al´em disso, os pr´oprios fornecedores de servi¸cos na Internet come¸cam tamb´em a contemplar a seguran¸ca nos seus pacotes de solu¸c˜oes. Por exemplo, os bancos, que s˜ao das institui¸c˜oes mais alvejadas com ataques inform´aticos, disponibilizam informa¸c˜ao bastante detalhada sobre os assuntos ligados `a seguran¸ca inform´atica. Neste ˆambito, algumas regras b´asicas que o utilizador deve seguir s˜ao:

• ´E vital ter um antiv´ırus instalado no computador (conv´em que o utilizador conhe¸ca bem ou se informe sobre o produto que tem instalado ou pretende instalar, devido `a existˆencia de falsos antiv´ırus (rogueware)). Posteriormente ´e aconselh´avel mante-lo activo e actualizado periodicamente (normalmente os fornecedores de antiv´ırus disponibilizam actualiza¸c˜oes semanais, figura3.16);

Figura 3.16 – Actualiza¸c˜ao do Antiv´ırus (Fonte: Estrela(1998))

• ´E vital ter uma firewall instalada e activa no computador;

• Devem existir cuidados acrescidos com a navega¸c˜ao na Internet, com download de material inform´atico, com a abertura de e-mails, links ou ficheiros anexos duvidosos, que podem colocar o computador em risco;

• A password do utilizador deve ser forte e dif´ıcil de decifrar, respeitando as seguintes regras:

– Deve ser constitu´ıda, no m´ınimo, por 8 caracteres, que n˜ao formem palavras presentes no dicion´ario, cal˜ao, sequˆencias num´ericas, acr´onimos de ind´ustria (admin, nome da empresa ou departamento) nem, em caso algum, conter dados pessoais (nome, data de nascimento) ou coincir com o username do utilizador.

– A password dever´a conter uma mistura letras Mai´usculas e Min´usculas, algarismos e Caracteres especiais (?, @, &, #).

– Exemplos de passwords fortes: S3gUr@nC@ ou Kau3#1TL.

No entanto, este tipo de passwords s˜ao, normalmente, dif´ıceis de memorizar. Isto leva a que alguns utilizadores optem por escolher passwords f´aceis de memorizar (o seu nome, a sua data de nascimento, o nome do seu animal de estima¸c˜ao, etc), mas tamb´em f´aceis de adivinhar ou decifrar. Outros utilizadores optam por apontar a sua password num bloco de notas ou num pequeno papel, tipicamente pr´oximo do teclado do computador ou at´e mesmo num post-it colado no monitor. Por´em, ´e vital para a seguran¸ca de qualquer rede inform´atica que os seus utilizadores consigam garantir e preservar a confidencialidade da sua password de acesso, evitando aponta-la ou divulga-la via telefone, imessenger, redes sociais. Para al´em disso, esta deve ser dificil de decifrar e frequentemente actualizada de maneira a que a password nova mantenha, no m´aximo, 3 caracteres da password antiga.

O utilizador tamb´em n˜ao dever´a, em caso algum, usar a mesma password para todas as suas actividades na Internet. Dever´a usar uma password diferente para cada caixa de e-mail, uma para websites ou blogs pessoais, outra para autentica¸c˜ao no sistema da empresa ou no seu computador pessoal e outra para se registar e aceder a f´oruns, redes sociais (twitter, youtube, facebook, etc) e outros sites de informa¸c˜ao e entretenimento.

• O utilizador dever´a verificar sempre o URL dos sites a que pretende aceder, principalmente sites de caracter privado, como p´aginas Web de entidades banc´arias. Em alguns ataques, como oPharming, o utilizador ´e direccionado

para p´aginas Web fict´ıcias, c´opias das p´aginas reais, levando-o a pensar que est´a no sitio correcto e a fornecer os seus dados pessoais. Contudo, o nome de dom´ınio das p´aginas fict´ıcias revela pequenas modifica¸c˜oes em rela¸c˜ao ao da p´agina real (www.pedro.com para www.pedr0.com ou www.p3dro.com), dif´ıceis de serem identificadas. Se o utilizador estiver atento ao URL poder´a detectar um ataque, n˜ao caindo na armadilha de inserir os seus dados pessoais. • Medidas de seguran¸ca nos Servi¸cos banc´arios na Internet:

– Minimize a p´agina web do seu banco. Se o teclado virtual for minimizado tamb´em, est´a correcto. Se ele permanecer no ecr˜a, sem minimizar, est´a a ser alvo de um ataqueteclado virtual fict´ıcio. Nunca digite nada nesse

teclado fict´ıcio, pois tudo o que for l´a digitado ´e informado ao atacante; – Sempre que se autenticar no site do banco, digite uma password errada,

na primeira vez. Se aparecer uma mensagem de erro significa que, `a partida, o site ´e realmente o do banco. Se n˜ao acusar o erro ´e sinal que est´a a ser alvo de um ataque. Os sites maliciosos n˜ao tˆem como conferir a validade da password, o objectivo ´e apenas captura-la.

– Sempre que entrar no site do banco verifique se no rodap´e da p´agina aparece o ´ıcone de um cadeado. Al´em disso clique duas vezes sobre esse ´ıcone. Dever´a aparecer uma pequena janela com informa¸c˜oes sobre a autenticidade do site. Em alguns sites fict´ıcios o cadeado aparece, mas apenas como imagem. Ao clicar duas vezes sobre ele, nada acontece. – Os bancos, por motivos de seguran¸ca, n˜ao enviam e-mails a oferecer

servi¸cos na sua p´agina oficial. Logo, qualquer e-mail desta esp´ecie ´e falso. – Desconfie de e-mails que comecem com “Caro cliente”. Normalmente os e-mails das entidades banc´arias dirigem-se ao cliente pelo nome “Exmo. Sr. Pedro Rodrigues” e n˜ao por “Caro cliente”. O objectivo dos e-mails fraudulentos ´e precisamente obter informa¸c˜ao pessoal sobre si, pelo que ´e dif´ıcil conhecerem o seu nome de antem˜ao.