Cibersegurança FAQ: Usuário de Internet

Versão Beta para testes e avaliações: Aguarde em breve a versão final. É um especialista em cibersegurança e quer contribuir com sua opinião sobre este FAQ? Clique aqui para acessar os Contatos.

Cibersegurança (ou segurança cibernética) consiste em ações e recursos para prevenção de ataques cibernéticos, reduzindo riscos e danos. Atua na proteção dos dispositivos digitais que utilizamos conectados à Internet (celulares, computadores, etc.), bem como na adoção de comportamentos que reduzem as nossas vulnerabilidades a estes ataques, tais como o uso de senhas fracas e a repetição de senhas em contas e aplicativos distintos.

As pessoas em geral e a própria imprensa convencionaram chamar de “hacker” qualquer pessoa que realiza crimes cibernéticos, tais como invasão sem consentimento de sistemas e computadores, obtenção ilícita de informações para ganho pessoal, modificações não autorizadas em softwares e apps, etc.

Entretanto, no meio especializado muitas vezes é feita uma diferenciação de nomenclatura. Os “hackers maliciosos” são denominados crackers ou black hat hackers (hackers do chapéu preto).

Já aquele profissional especialista que simula as ações dos crackers para identificar falhas de segurança e alertar a comunidade de usuários sobre elas seria o verdadeiro hacker, ou ainda “hacker do bem”, “hacker mocinho”, “hacker ético” e white hat hacker (hacker de chapéu branco).

A denominação “chapéu branco” e “chapéu preto”, segundo BEAVER (2014), tem sua origem nos filmes de caubói americano, nos quais a cor do chapéu identificava o mocinho e o bandido. Cabe, entretanto, pontuarmos o racismo estrutural de linguagem associado à esta definição.

A realidade, contudo, possui um lado cinza. Os limites são tênues e, às vezes, explicitamente transgredidos. Muitos hackers já foram crackers no passado ou mantêm “vida dupla”.

O jovem inglês Marcus Hutchins  ficou mundialmente famoso por parar o WannaCry, um ransomware que bloqueava dados dos usuários e exigia resgate em bitcoins. Posteriormente, foi  preso pelo FBI sob várias acusações envolvendo ataques e fraudes bancárias. Em 2019, ele se declarou culpado por ter programado malware (contração de malicious software – software malicioso). (HERN, LEVIN, 2017; KARASZ, Palko, 2019).

O crime cibernético é um hackeamento não ético (crackeamento), como invasão sem consentimento de sistemas e computadores, obtenção ilícita de informações para ganho pessoal, modificações não autorizadas em softwares e apps, etc.

Já o hackeamento ético é um serviço prestado por especialistas em cibersegurança, visando  descobrir falhas de segurança em computadores, sistemas e processos. Trata-se de uma investigação autorizada e, em geral, muitíssimo bem remunerada e documentada, seguindo rígidos protocolos.

Por fim, algumas empresas oferecem prêmios vultuosos para qualquer pessoa que quebre sua segurança (e demonstre como o fez), estimulando um ambiente de investigação contínua e escrutínio de seus produtos e serviços. O Telegram, por exemplo, já chegou a oferecer 300 mil dólares para quem conseguisse crackear seu aplicativo. Até hoje ninguém obteve este êxito.

O ponto mais fraco da cibersegurança é, quase sempre, o usuário. Metade dos brasileiros usam a mesma senha em diferentes contas ou serviços, ampliando o estrago causado quando uma senha ou conta é hackeada. (Tilt, 2019).

Para dimensionarmos a gravidade da situação, dados vazados por crackers (hackers maliciosos ou “black hat hackers“) revelam que as senhas mais usadas são extremamente fáceis de serem quebradas, sendo algumas adotadas com frequência: 123456, password e qwerty, que é a sequência das primeiras letras do teclado.

Crackers munidos de alta tecnologia (softwares e robôs) podem quebrar senhas fáceis como estas em segundos, por meio de ataques de dicionário (utiliza como base palavras e senhas comuns), ataques de força bruta (por tentativa e erro de todas as combinações possíveis) ou ataques arco-íris (utilizam tabelas pré-calculadas para adivinhar a senha, aumentando a velocidade da quebra).

Senhas e dados confidenciais podem, ainda, ser obtidos com baixa tecnologia, por exemplo, observando o usuário digitar (shoulder surfing) ou se passando por empresas em telefonemas. Estas táticas para enganar pessoas, fazendo-as revelar informações sigilosas, são conhecidas por engenharia social (hackeamento com baixa tecnologia). Trata-se de golpes extremamente comuns que causam prejuízos incalculáveis às pessoas, empresas e instituições, todos os anos.

Por estes motivos, os profissionais de GLAM que realizam procedimentos de rotina na Internet, tais como atualizar o website da instituição ou alimentar o sistema de gestão das coleções, precisam estar preparados para assumir protocolos responsáveis de segurança cibernética, como os sugeridos neste projeto.

Um dos pontos inegociáveis é o uso de senhas fortes. Portanto, utilize senhas longas e únicas para cada serviço, contendo vários tipos de caracteres (letras, números, caracteres especiais), bem como autenticação de dois fatores (2FA). (Vide questão 10 deste FAQ)

A troca frequente de senhas e a adoção de combinações fortes (por exemplo: senhas com 8 caracteres aleatórios dentre os 126 disponíveis) dificultam enormemente o hackeamento, pois apresentam quatrilhões em número de combinações. Para quem possui muitas contas (redes sociais, serviços, comércios, etc.), a única solução eficiente é adotar um Gerenciador de Senhas. (Vide questões 6, 7 e 8 deste FAQ)

Cada usuário deve, ainda, possuir seu próprio login e senha na instituição e ter as suas atividades rastreadas. A maioria dos sistemas, como o Moodle, WordPress e o Tainacan, permitem recursos de registros de login e atividades dentro do software.

Por fim, garanta que os dispositivos (computadores, celulares, etc.) possuam somente softwares e apps originais, sempre atualizados. A desatualização é uma das principais causas de fragilidade da segurança na Internet.

No caso de computadores, um software antivírus profissional também é indispensável.

Um gerador de senhas é um software que gera senhas totalmente aleatórias, de acordo com o número de caracteres solicitado. Geradores são capazes de produzir senhas complexas e indecifráveis, tais como:

vxL!A%hO9@V4xF0&Bb.

Alguns ajustes podem ser selecionados, como senhas fáceis de ler (sem caracteres ambíguos do tipo número “O” e letra “o”) e fáceis de pronunciar (evita números e caracteres especiais).

Contudo, o melhor para a segurança é utilizar todos os tipos de caracteres: maiúsculas, minúsculas, dígitos e símbolos. Para não se preocupar em memorizar senhas, utilize um Gerenciador de Senhas (Questão 7 deste FAQ). Segue abaixo um exemplo de Gerador de Senhas, como o que vem disponível no aplicativo LastPass.

Fonte: Website do LastPass

O Gerenciador de Senhas é um software que armazena, criptografa e preenche para o usuário login e senha automaticamente nos websites, contribuindo para que todas as senhas sejam fortes e únicas, já que não será mais necessário memorizar nenhuma senha, com exceção da “senha mestre” (a que concede acesso ao cofre de senhas).

Uma vez logado, o Gerenciador preenche automaticamente os dados de acesso em qualquer website, sem a necessidade de digitar nada, em apenas um clique. Basta selecionar o website desejado e o login é realizado instantaneamente. Para isto o Gerenciador de Senhas utiliza aplicativos (celulares) e extensões (plugins instalados no seu navegador).

Além de senhas, o Gerenciador também preenche formulários de cartão de crédito e endereços, guarda anotações e cria senhas seguras em novos cadastros, podendo alterar senhas antigas por outras automaticamente.

Por fim, o software realiza checagens de segurança no cofre, identificando falhas de segurança e sugerindo correções nas senhas frágeis.

Utilizamos e recomendamos o LastPass (imagens abaixo), cuja versão gratuita atende a grande maioria dos usuários e parece mais completa do que seu grande concorrente, o 1Password, também amplamente reconhecido pelo mercado.

A única maneira de se ter senhas realmente únicas e seguras para tantas contas que possuímos hoje em dia é por meio de um Gerenciador de Senhas.

Fonte: Website do LastPass

Fonte: Website do LastPass

Dentre todos os cuidados, dois fatores jamais podem ser negligenciados numa senha-mestre: o seu tamanho e sua exclusividade. Uma senha forte e segura é longa, com 20 ou mais caracteres. Também precisa ser única, jamais reutilizada em outra conta, mesmo com variações em torno da senha principal.

Um caminho eficiente para se criar uma senha-mestre memorizável é escolher uma frase. Mesmo o mais potente computador, executando um excelente software, demoraria uma eternidade para quebrar uma senha composta por uma frase longa (passphrase).

Para ser segura, precisa preferencialmente ser uma frase de pelo menos cinco palavras randômicas (ex: coala, modernismo, chuva, tinta, literatura). A frase pode ser, ainda, entremeada por números, caracteres especiais, maiúsculas e minúsculas.

Substituir caracteres por letras parecidas é uma tática fraca, pois os robôs fazem essas simulações em seus ataques. O ideal é incluir alguns caracteres aleatórios, mas se combinada com uma passphrase, esses caracteres fáceis de memorizar podem ajudar a dificultar a senha:

%coa!amoderni$moChuvatint@literatura*

Frases que façam sentido gramatical, como “Monet pintou quadros impressionistas”, não são seguras. As palavras precisam ser desconexas uma das outras.

Se a frase for popular, como uma música ou um poema, pode-se optar pelas três primeiras letras de cada palavra de um verso. Assim, será mais difícil esquecê-la e ainda mais difícil quebrá-la do que palavras que existam em um dicionário, letras de músicas, etc.

O ideal seria selecionar uma frase que faça sentido somente para o próprio usuário. O usuário pode estruturar uma história que tenha significado pessoal, facilitando a memorização, mas que ninguém consiga decifrar.

Por exemplo,  “O Marcos não devolveu dois livros! Amigo… quero de volta, por favor”. Contando essa história com as três primeiras letras de cada palavra, inserindo randomicamente os caracteres especiais e números, a senha forte ficaria assim:

oMarnaodev2liv!Ami…quedevol,porfav.

A senha acima demoraria 20 septendecilhões de anos para ser quebrada. Após criar a senha, os Gerenciadores de Senha a testarão para você, apontando possíveis fragilidades.

Anote esta senha em um local super seguro e não digital, com papel e lápis, sem dar maiores contextos. Troque sua senha mestre de seis em seis meses, por outra igualmente segura, que nunca tenha sido utilizada antes.

Por fim, não a salve automaticamente em nenhum navegador ou celular pois, além de ser um procedimento inseguro, ter que digitar sua senha diariamente auxilia no processo de memorização. Uma vez esquecida sua senha-mestre, você simplesmente perdeu todas as senhas de seu cofre.

Uma senha longa e forte é capaz de resistir a ataques randômicos de robôs. Entretanto, em um ataque direcionado, no qual um invasor foca em um único alvo, quebrar a senha é uma questão de tempo e recursos, em geral por meio de ataques de força bruta (tentativa e erro até o computador conseguir adivinhar a senha).

Se alterarmos a senha, por exemplo a cada seis meses, o invasor precisaria começar o ataque do zero novamente a cada troca. Se mantivermos senhas fortes e as trocarmos com frequência, tornamos a invasão por este meio quase impossível.

Na prática, contudo, as recomendações de se alterar as senhas com frequência têm sido revistas, pois os usuários criam o hábito de alterar somente uma letra ou outra, bem como substituir a senha anterior por outra de fácil memorização, resultando em um cenário geral pior do que manter a senha antiga forte. (BBC News, 2017) Afinal de contas, ataques de longa duração direcionados à uma conta específica são mais raros.

A autenticação de dois fatores exige uma confirmação além da senha, garantindo deste modo que o usuário seja realmente o dono da conta.

Esta confirmação pode ser algo que você sabe (uma informação extra), algo que você tem (uma senha enviada para o seu celular por SMS ou aplicativo) ou algo que você é (dados biométricos, como sua face ou digital).

Confirmação por SMS não são as mais recomendáveis, pois podem ser facilmente crackeáveis de diversos modos. É preferível utilizar aplicativos geradores de senhas para autenticação, como o LastPass Authenticator (imagem abaixo) e Authy.

Fonte: Website do LastPass

A primeira razão pela qual equipamentos Apple costumam ser considerados mais seguros é porque são bem menos utilizados do que os demais. Assim, muitos crackers preferem dedicar o seu tempo a produzir vírus e robôs que ataquem PCs e Androids, ampliando suas chances de uma invasão bem sucedida. O Android é o sistema operacional mais utilizado em todo o mundo, com 2.5 bilhões de usuários.

O segundo motivo consiste no fato de que a obtenção dos dados para revenda não faz parte, pelo menos de forma central e explícita, do negócio da Apple, ao contrário do que se observa na empresa Google (gestora do sistema operacional Android), uma empresa que escancaradamente capitaliza nossos dados e que não prioriza a privacidade. Contudo, às vezes os próprios sistemas de privacidade da Apple podem conter vulnerabilidades que expõem dados dos seus usuários. Não existe empresa de tecnologia perfeita e nem totalmente confiável neste quesito, infelizmente.

O terceiro é o fato da cibersegurança ser um dos lemas de marketing da Apple, que cobra mais caro por seus produtos, também, por oferecer um ambiente mais seguro para seus clientes. Por exemplo, inserir aplicativos na Apple Store é um processo caro e demorado, além de mais rigoroso do que na Google Play. As configurações padrão dos produtos e aplicativos para equipamentos Apple também são mais restritivas e customizáveis por leigos do que as para Android/PCs. É simples criptografar laptops e demais dispositivos Apple, exigindo poucos cliques e pouco conhecimento técnico para isto. Por fim, mesmo dispositivos mais antigos ainda são capazes de rodar as versões mais atualizadas do sistema operacional e aplicativos. Isto não se verifica nos celulares Android, que perdem rapidamente a capacidade de atualizar o sistema operacional à medida que envelhecem.

Por diversos motivos, sendo estes somente alguns, equipamentos Apple costumam ser mais seguros do que os demais.

Infelizmente a marca tornou-se objeto de desejo e status, encarecendo ainda mais seus produtos e explorando este lado deplorável da tecnologia, que é a obsolescência programada e também a percebida. Sobre este assunto, recomendamos fortemente o documentário A História das Coisas (legendas em português).  Já este vídeo do Átila Iamarino é um bom resumo de alguns dos principais aspectos relacionados à Apple e o custo de seus equipamentos.

Foge ao escopo deste FAQ nos delongarmos no controverso debate “PCs x Macs” e “Android x iOS”. Não obstante a Apple ser uma empresa extremamente proprietária, de baixíssima interoperabilidade, valores altamente questionáveis,  passível de inúmeras críticas, se a segurança for um fator importante e puder arcar com os custos, privilegie equipamentos Apple.

O que estes três aplicativos têm em comum – Signal, Telegram e WhatsApp – é que, se bem usados, são extremamente seguros, pois criptografam as mensagens de ponta a ponta, garantindo que não sejam interceptadas e decifradas no caminho e nem no servidor.

Por isto, quando o Telegram ou o WhatsApp afirmam que não podem fornecer suas mensagens para a justiça, em caso de solicitação, é porque eles efetivamente não podem (no caso do Telegram, os chamados “chats privados”, como veremos a seguir).

No Telegram a criptografia não é o padrão, mas uma opção do usuário (chats privados, com “cadeadinho”). Caso opte por chats sem criptografia, as mensagens poderão ser lidas em mais de um dispositivo e ficarão armazenadas na nuvem da empresa por um tempo determinado. Isto não torna o Telegram mais inseguro, apenas significa que o usuário precisará decidir o grau de privacidade que deseja para cada comunicação específica.

Aliás, a grande quantidade de recursos e opções é uma das principais vantagens do Telegram, que permite deletar mensagens definitivamente no aparelho do destinatário e avisa quando o mesmo realizou um print da tela. O Telegram utiliza, porém, alguns recursos controversos de criptografia. Apesar das críticas, até hoje ninguém obteve nenhum dos prêmios oferecidos nos seus concursos de segurança, que chegam a oferecer $300 mil dólares para quem quebrar o aplicativo e mostrar como o fez. Em termos de usabilidade e opções de recursos, é o melhor aplicativo.

Dos três, somente o WhatsApp não possui código aberto, o que impede que conheçamos plenamente o seu funcionamento, bem como que auditores externos identifiquem falhas de segurança, que poderiam ser corrigidas mais rapidamente. Além disto, o WhatsApp pertence ao Facebook e monetiza nossos dados, o que significa que suas informações de uso do aplicativo estão alimentando o lucro e o “dossiê” que o Facebook dispõe sobre você. Apesar de não poder ler o conteúdo das mensagens criptografadas, a empresa coleta metadados do usuário (remetente, horários de mensagens enviadas e seus destinatários, etc.) e os integra aos que já foram obtidos via Facebook e Instagram.

No caso do Signal, o aplicativo não é comercial e é o único cujo servidor também possui código aberto, ampliando ainda mais a transparência. O seu protocolo de criptografia ponta a ponta foi adotado pelo Facebook, WhatsApp, Skype e Google, o que só reforça o seu prestígio. O Signal é provavelmente o mais seguro de todos, por isto tem sido adotado por ativistas e políticos no mundo todo.

Em resumo, todos os três são seguros, mas após analisar as avaliações dos especialistas e testar os mensageiros, recomendamos:

Leia mais sobre o tema no relatório e ranking de empresas de tecnologia da Anistia Internacional. O aplicativo Signal não entrou nos rankings por possuir baixo número de usuários, mas é bem referenciado pelo relatório, que também concede ótima classificação ao iMessage (excelente aplicativo, mas de uso restrito a quem possui iPhone).

Primeiramente, muitos usuários não têm noção do quão público são os grupos dos quais participam. Muitos fóruns e grupos de Facebook requerem solicitação de participação, mas seus dados podem ser visualizados por qualquer um.

Além disto, usuários e empresas podem extrair os comentários e dados do grupo, segmentando seus participantes de acordo com suas opiniões, medos, interesses, etc. A partir disto, novos grupos são criados objetivando bombardear estas pessoas com informações para as quais estejam susceptíveis, ampliando os efeitos de manipulação (compra de produtos, guerras culturais, políticas, etc.).

Por fim, um grupo que é privado hoje, pode ser público amanhã. Uma pessoa que não participava do grupo pode passar a fazer e acessar, em muitos casos, conteúdos antigos.

Grupos na Internet não são seguros e são alvos frequentes de investidas dos crackers na obtenção de informações sobre usuários, empresas e instituições.

Pessoas públicas, cujos números precisem ser amplamente difundidos, devem possuir dois equipamentos distintos, sendo um restrito para pessoas de confiança. A obtenção do número do celular facilita hackeamentos diversos, bem como esquemas de engenharia social (golpes).

Uma prevenção contra isto seria concentrar no equipamento de uso restrito os recursos mais relevantes no que tange à segurança, como aplicativos de rotina, bancários, gerenciamento de coleções on-line e projetos, 2FA (autenticação de dois fatores), dentre outros.

No caso de pessoas em altos cargos, como diretores de GLAM, a instituição deveria custear um equipamento para uso profissional, mantendo o diretor um celular pessoal reservado aos contatos mais próximos.

O marketing digital é, hoje, parte importante da estratégia de comunicação das principais instituições do mundo.

Entretanto, precisamos estar cientes de que esta superexposição revela dados essenciais que podem ser utilizados por golpistas (engenheiros sociais), como uso de uniformes e crachás pelos funcionários, empresas terceirizadas contratadas, cronogramas, procedimentos, nomes de funcionários e pessoas envolvidas, etc.

Portanto, é preciso pesar prós e contras e analisar se a instituição tem condições de arcar com as demandas de segurança geradas por esta divulgação.

A maioria dos websites de maior porte atualmente fornecem conexão encriptada, sendo alguns indícios de que a conexão é segura:

  • O website se inicia com https (com um s incluído no final).
  • O website está marcado pelo navegador e/ou pelo mecanismo de busca como conexão segura (verde).
  • O navegador exibe um cadeado fechado ao lado da URL do website, em vez de “Não seguro” ou avisos similares.

É possível bloquear websites e/ou requisições de terceiros que não sejam criptografadas utilizando extensões, como o HTTPS Everywhere, que também forçam a conexão segura quando este recurso está disponível. O HTTPS Everywhere atualmente possui versões para Chrome, Firefox e Opera, mas pode ser instalada via loja do Chrome no Brave.

Versão inicial de autoria de Ana Cecília Rocha Veiga.