Evolução da segurança da informação e perspectivas para 2008

Ao traçar uma breve e recente retrospectiva sobre o avanço das ações relacionadas com segurança da informação, identificamos marcos importantes na área. No período entre 2000 e 2004, observamos uma grande quantidade de incidentes de segurança provocados por falhas na infra-estrutura computacional.

Muitos investimentos foram realizados para as empresas se especializarem na manutenção contínua da segurança do parque computacional. Nesta época, a maioria das grandes companhias e bancos criaram áreas de segurança da informação.

Quando a infra-estrutura se mostrou relativamente segura, os ataques migraram para os sistemas aplicativos. Diversas técnicas sofisticadas de ataques foram desenvolvidas, como programas espiões, pichação de páginas, injeção de códigos de consulta a bancos de dados em protocolos (SQL injection), entre outras.

Desta forma, por volta de 2004 os desenvolvedores de sistemas críticos também tiveram de ser treinados em disciplinas específicas de segurança da informação, incluindo vulnerabilidades do protocolo TCP/IP, conceitos de criptografia, mecanismos de autenticação segura de usuários e sistemas.

Em meio a este turbilhão de avanços tecnológicos, também vivenciamos a necessidade de aprimorar as equipes de TI com relação à governança corporativa e controles de legislações. Neste quesito, o fato mais marcante foi a vinda da Lei Sarbanes-Oxley (SOX), que exigiu que os CIOs repensassem seus processos e controles de gestão de sistemas e usuários.

Com essa retrospectiva da evolução dos temas principais de segurança da informação, vamos refletir o que pode ser projetado para 2008 e nos próximos anos.

Segurança da informação será uma commodity? Dependendo do ponto de vista, talvez já seja. Se analisarmos a segurança da informação pela perspectiva tecnológica, certamente hoje já existem ferramentas automatizadas e diversas empresas prestadoras de serviços que terceirizam a configuração e monitoração de servidores e firewalls.
Porém, se olharmos pela perspectiva do gerenciamento de identidades digitais de usuários de sistemas, análise de riscos de terceirização de processos de negócios e TI, estratégia e governança de segurança para a empresa e relacionamento com parceiros, percebemos que ainda existe a necessidade de especialização e capacitação de recursos para obter resultados adequados.

Um possível reflexo desta evolução pode ser uma aproximação das áreas de segurança de TI das empresas com as disciplinas de análise de risco, afastando-a gradativamente da operação tradicional de tecnologia.
Temos um cenário de bastante desenvolvimento para as empresas em 2008. Cabe aos gestores a missão de identificar quais são as disciplinas que possibilitam operar com custos mais eficientes; e aos profissionais de segurança a responsabilidade de se manterem atualizados para atender as exigências do mercado.

Pagamentos com dispositivos móveis Em 2007, fomos surpreendidos com o baixo crescimento da base de usuários de Internet Banking, de acordo com os dados da Federação Brasileira de Bancos (Febraban) referentes a 2006. Diferentes análises podem ser feitas. Primeiramente, podemos supor que os bancos já atingiram quase a totalidade dos clientes com acesso à internet e, daqui para frente, a base acompanhará o crescimento da população brasileira com acesso à rede mundial.

Também podemos deduzir que a grande exposição das fraudes em aplicações web na mídia têm prejudicado a migração dos clientes para este canal.

Independentemente do motivo, para 2008 é certo que, além dos contínuos investimentos na segurança da web, as empresas também estarão mais focadas nas possibilidades de expandir a utilização de seus sistemas a partir de dispositivos móveis de telefonia celular, como por exemplo, o smartphone.

O amadurecimento da tecnologia, a queda do preço dos aparelhos e a disseminação da utilização entre a população tornam quase obrigatória a disponibilidade de um meio de relacionamento entre empresas e clientes por este canal.
Porém, não devemos nos ater apenas às transações convencionais de consulta a extratos, pagamento de contas recorrentes ou aquisição de produtos de baixo valor como músicas e créditos de jogos eletrônicos. Diferentes formas de relacionamento estão sendo testadas ao redor do mundo, de acordo com as necessidades e regulamentações específicas. Estas novidades podem representar grandes oportunidades ou riscos de continuidade para empresas brasileiras, dependendo de seu modelo de negócio.

A associação entre operadoras de telefonia celular e bancos permite a criação das carteiras eletrônicas dentro dos telefones e abre novas oportunidades de geração de receita para ambos. Estas carteiras permitem a utilização do dispositivo como cartão de crédito, pagamento de serviços e produtos por meio de aproximação (touch and pay) e compra de conteúdo digital (música e vídeo).

As perspectivas na área de segurança da informação para 2008 são muito promissoras. Todas estas formas inovadoras de relacionamento com clientes exigirão trabalho aprofundado das equipes técnicas nas questões de funcionalidade, disponibilidade e processos operacionais periféricos, além de avaliações de vulnerabilidades e monitoração contínua contra fraudes. Cabe aos especialistas discutir as oportunidades nas respectivas empresas com o objetivo de envolverem-se desde a fase de concepção do projeto, agregando valor às áreas de negócios e minimizando riscos e perdas financeiras.

Criptografia

Introdução

O envio e o recebimento de informações sigilosas é uma necessidade antiga, que existe há centenas de anos. Com o surgimento da internet e sua facilidade de entregar informações de maneira precisa e extremamente rápida, a criptografia tornou-se uma ferramenta fundamental para permitir que apenas o emissor e o receptor tenham acesso livre à informação trabalhada. Este artigo tem por objetivo dar uma abordagem introdutória à criptografia, mostrando os aspectos e conceitos mais importantes.

O que é Criptografia

O termo Criptografia surgiu da fusão das palavras gregas "Kryptós" e "gráphein", que significam "oculto" e "escrever", respectivamente. Trata-se de um conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-la, evitando que um intruso consiga interpretá-la. Para isso, uma série de técnicas são usadas e muitas outras surgem com o passar do tempo.

Na computação, as técnicas mais conhecidas envolvem o conceito de chaves, as chamadas "chaves criptográficas". Trata-se de um conjunto de bits baseado em um determinado algoritmo capaz de codificar e de decodificar informações. Se o receptor da mensagem usar uma chave incompatível com a chave do emissor, não conseguirá extrair a informação.

Os primeiros métodos criptográficos existentes usavam apenas um algoritmo de codificação. Assim, bastava que o receptor da informação conhecesse esse algoritmo para poder extraí-la. No entanto, se um intruso tiver posse desse algoritmo, também poderá decifrá-la, caso capture os dados criptografados. Há ainda outro problema: imagine que a pessoa A tenha que enviar uma informação criptografada à pessoa B. Esta última terá que conhecer o algoritmo usado. Imagine agora que uma pessoa C também precisa receber uma informação da pessoa A, porém a pessoa C não pode descobrir qual é a informação que a pessoa B recebeu. Se a pessoa C capturar a informação envida à pessoa B, também conseguirá decifrá-la, pois quando a pessoa A enviou sua informação, a pessoa C também teve que conhecer o algoritmo usado. Para a pessoa A evitar esse problema, a única solução é usar um algoritmo diferente para cada receptor.

Com o uso de chaves, um emissor pode usar o mesmo algoritmo (o mesmo método) para vários receptores. Basta que cada um receba uma chave diferente. Além disso, caso um receptor perca ou exponha determinada chave, é possível trocá-la, mantendo-se o mesmo algoritmo.

Você já deve ter ouvido falar de chave de 64 bits, chave de 128 bits e assim por diante. Esses valores expressam o tamanho de uma determinada chave. Quanto mais bits forem utilizados, mais segura será a criptografia. Explica-se: caso um algoritmo use chaves de 8 bits, apenas 256 chaves poderão ser usadas na decodificação, pois 2 elevado a 8 é 256. Isso deixa claro que 8 bits é inseguro, pois até uma pessoa é capaz de gerar as 256 combinações (embora demore), imagine então um computador. Porém, se forem usados 128 ou mais bits para chaves (faça 2 elevado a 128 para ver o que acontece), teremos uma quantidade extremamente grande de combinações, deixando a informação criptografada bem mais segura.

Chaves simétricas e assimétricas

Existem dois tipos de chaves: simétricas e assimétricas. Ambas são vistas a seguir.

Chave simétrica

Esse é um tipo de chave mais simples, onde o emissor e o receptor fazem uso da mesma chave, isto é, uma única chave é usada na codificação e na decodificação da informação. Existem vários algoritmos que usam chaves simétricas, como o DES, o IDEA, e o RC:

DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de chaves de 56 bits. Isso corresponde a 72 quadrilhões de combinações. É um valor absurdamente alto, mas não para um computador potente. Em 1997, ele foi quebrado por técnicas de "força bruta" (tentativa e erro) em um desafio promovido na internet;

IDEA (International Data Encryption Algorithm): criado em 1991 por James Massey e Xuejia Lai, o IDEA é um algoritmo que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao DES. Sua implementação em software é mais fácil do que a implementação deste último;

RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security, esse algoritmo é muito utilizado em e-mails e faz uso de chaves que vão de 8 a 1024 bits. Possui várias versões: RC2, RC4, RC5 e RC6. Essencialmente, cada versão difere da outra por trabalhar com chaves maiores.

Há ainda outros algoritmos conhecidos, como o AES (Advanced Encryption Standard) - que é baseado no DES - , o 3DES, o Twofish e sua variante Blowfish, entre outros.

O uso de chaves simétricas tem algumas desvantagens, fazendo com que sua utilização não seja adequada em situações onde a informação é muito valiosa. Para começar, é necessário usar uma grande quantidade de chaves caso muitas pessoas estejam envolvidas. Ainda, há o fato de que tanto o emissor quanto o receptor precisa conhecer a chave usada. A transmissão dessa chave de um para o outro pode não ser tão segura e cair em "mãos erradas".

Chave assimétrica

Também conhecida como "chave pública", a chave assimétrica trabalha com duas chaves: uma denominada privada e outra denominada pública. Nesse método, uma pessoa deve criar uma chave de codificação e enviá-la a quem for mandar informações a ela. Essa é a chave pública. Uma outra chave deve ser criada para a decodificação. Esta - a chave privada - é secreta.

Entre os algoritmos que usam chaves assimétricas, têm-se o RSA (o mais conhecido) e o Diffie-Hellman:

RSA (Rivest, Shamir and Adleman): criado em 1977 por Ron Rivest, Adi Shamir e Len Adleman nos laboratórios do

MIT (Massachusetts Institute of Technology), é um dos algoritmos de chave assimétrica mais usados. Nesse algoritmo, números primos (número primo é aquele que só pode ser dividido por 1 e por ele mesmo) são utilizados da seguinte forma: dois números primos são multiplicados para se obter um terceiro valor. Porém, descobrir os dois primeiros números a partir do terceiro (ou seja, fazer uma fatoração) é muito trabalhoso. Se dois números primos grandes (realmente grandes) forem usados na multiplicação, será necessário usar muito processamento para descobrí-los, tornando essa tarefa quase sempre inviável. Basicamente, a chave privada no RSA são os números multiplicados e a chave pública é o valor obtido;

ElGamal: criado por Taher ElGamal, esse algoritmo faz uso de um problema matemático conhecido por "logaritmo discreto" para se tornar seguro. Sua utilização é freqüente em assinaturas digitais.
Existem ainda outros algoritmos, como o DSA (Digital Signature Algorithm), o Schnorr (praticamente usado apenas em assinaturas digitais) e Diffie-Hellman.

Assinatura Digital

Um recurso conhecido por Assinatura Digital é muito usado com chaves públicas. Trata-se de um meio que permite provar que um determinado documento eletrônico é de procedência verdadeira. O receptor da informação usará a chave pública fornecida pelo emissor para se certificar da origem. Além disso, a chave fica integrada ao documento de forma que qualquer alteração por terceiros imediatamente a invalide.

É importante frisar que assinatura digital não é o mesmo que assinatura digitalizada. Esta última consiste em uma assinatura feita a mão por um indivíduo que depois é capturada por scanner e incluída em documentos.

No Brasil, uma das empresas que fornecem assinatura digital é a CertSign. Saiba mais sobre assinaturas digitais aqui.

PGP

PGP é a sigla para Pretty Good Privacy. Trata-se de um software livre de criptografia criado por Philip Zimmermman em 1991. A intenção de Zimmermman foi a de ajudar na defesa da liberdade individual nos Estados Unidos e no mundo inteiro, uma vez que ele percebeu que o uso do computador seria algo cada vez mais maior e que o direito à privacidade deveria ser mantido nesse meio. Por ser disponibilizado de forma gratuita, o PGP acabou se tornando uns dos meios de criptografia mais conhecidos, principalmente na troca de e-mails.

No PGP, chaves assimétricas são usadas. Além disso, para reforçar a segurança, o software pode realizar um segundo tipo de criptografia através de um método conhecido como "chave de sessão" que, na verdade, é um tipo de chave simétrica.

Um fato curioso a ser citado é que Zimmermman foi alvo de uma investigação policial que durou quase 3 anos. Isso porque a legislação americana proíbe a exportação de software criptográfico sem expressa autorização do governo. Porém, na investigação, ficou provado que alguém sem identificação e não o próprio Zimmermman é que distribuiu o programa pela internet. O PGP então passou a ser enviado para outros países através de uma brecha na legislação americana: novas versões tiveram seu código-fonte publicado em livros. Estes são exportados de forma legal, pois a lei americana proíbe a exportação do software, mas o código impresso não é considerado programa.

Existem vários softwares baseados no PGP. Para mais informações e downloads (inclusive do código-fonte) visite www.pgp.com.

Finalizando

Criptografia só pode ser considerada como tal se 4 princípios básicos forem seguidos e oferecidos: confidencialidade, autenticação, integridade da informação e não repudiabilidade (o remetente não pode negar o envio da informação). É por isso que a criptografia é um recurso tão importante na transmissão de informações pela internet e, mesmo assim, não é capaz de garantir 100% de segurança, pois sempre existe alguém que consegue criar um jeito de quebrar uma codificação. Por isso é que técnicas existentes são aperfeiçoadas e outras são criadas, como a "Criptografia Quântica". Na criptografia há ainda outros conceitos envolvidos, como a Função Hashing (usada em assinaturas digitais), e aplicações, como a Certificação Digital.

Para quem deseja trabalhar com computação, criptografia é uma área interessante. Obviamente, é necessário ter muita afinidade com cálculos, afinal, como pode ser notado no artigo, matemática é a base para os conceitos que envolvem a criptografia.

Glossário de segurança da informação

Segurança na Internet é um assunto complexo. Eis alguns termos e conceitos que os usuários de PC têm que saber. Ataque Denial of Service (DoS): Inunda um endereço IP com dados, fazendo o computador travar ou perder a conexão com a Internet. A maioria dos ataques DoS visa grandes servidores Web, com o objetivo de tornar o site alvo indisponível para outros visitantes.

Para se comunicar na internet, os hackers e especialistas em segurança utilizam um dialeto especial. Veja o que significam alguns termos:

• Ataque Distributed Denial-of-Service (DDoS): utiliza diversos computadores para lançar um ataque DoS. Um hacker comanda vários computadores externos e os usa como plataformas para lançar o ataque, ampliando sua intensidade e ocultando a identidade do hacker.

• Hacker: a palavra surgiu nos anos 50 dentro do MIT e deriva do termo hack, usada para definir atividades de alta tecnologia com os quais alguns estudantes se ocupavam. Alguém que, deliberadamente, ganha acesso a outros computadores, freqüentemente sem conhecimento ou permissão do usuário. Hackers maliciosos fazem isso para roubar informação valiosa, atrapalhar serviços ou causar outros danos.

• Cracker: são os hackers mais radicais. Eles pirateiam programas e penetram em sistemas "quebrando" tudo. A intenção é sabotar ao máximo os grandes servidores.

• Carder: cracker especializado somente em fraudes com cartões de crédito.

• Defacer: usuário mal-intencionado que passa o tempo tentando desfigurar a página inicial de sites conhecidos.

• Lamer (ou ainda newbie ou script kid): iniciante. Tem pouco de conhecimento e usa ferramentas criadas por outros hackers para invadir computadores alheios. Ficam se exibindo na internet, o que é mal visto até por veteranos do crime.

• Honeypot (pote de mel): armadilhas para hackers. Um computador é servido de isca e quando é invadido, coleta informações para serem usadas em futuras defesas.

• Phishing scams: um e-mail disfarçado que tenta enganar usuários com sites falsos. e promessas infundadas. Geralmente são cópias quase idênticas de páginas de bancos que levam os internautas a digitar suas senhas e números de cartão de crédito.

• Spoofing: ato de usar uma máquina para personificar e invadir outra. Isso é feito forjando o endereço de origem de um ou mais micros. Para realizar uma sessão bem-sucedida, crakers temporariamente "silenciam" o computador que eles estão personificando.

• SSL (Secure Socket Layer): protocolo de transmissão de dados teoricamente seguro usado para envio de senhas e número de cartão de crédito na web.

• Warez: programas pirateados, que antes mesmo de estarem no mercado, já têm seus códigos "quebrados", tornando possível identificar a chave de registro sem se pagar nada por isso.

• Endereço IP (Internet Protocol): o número que identifica um computador ou outro dispositivo na Internet. Duas máquinas conectadas diretamente à Internet não podem ter o mesmo endereço IP ao mesmo tempo. Computadores com endereços IP estáticos (a maioria dos sistemas com conexões DSL ou cable modem) sempre usam o mesmo endereço IP; computadores com endereços dinâmicos (a maioria dos sistemas com conexões discadas) recebem um novo endereço IP toda vez que conectam à Internet.

• Firewall pessoal: software que impede usuários não autorizados de acessar um PC isolado. Também impede que programas maliciosos enviem dados. Recomendo o ótimo firewall ZoneAlarm, da ZoneLabs, gratuito para uso pessoal: http://www.zonelabs.com

• Porta: conexão eletrônica que permite que os dados trafeguem entre um PC cliente e um servidor através de uma rede.

• Varredura de Porta (scan): dados enviados por um hacker via Internet para localizar um PC ou uma rede e descobrir se há portas abertas que aceitem a conexão.

• Modo de reserva (stealth): configuração protetora que oculta uma porta para que ela não fique visível através da Internet. Uma porta que foi colocada no modo de reserva não responderá a uma varredura de porta e, portanto, não dará sinal de que existe um computador no endereço IP vasculhado.

• Cavalo de Tróia: programa malicioso disfarçado em algo inofensivo, em geral um arquivo anexado ou um download que você abre e executa. Um cavalo de Tróia pode abrir o computador para as incursões do hacker. Se você recebe e-mails pelo Outlook, Outlook Express, Eudora, Incredimail, nunca abra anexos (attachments) cujo remetente vier marcado com um sinal parecido com um clipe. Se você não conhece a pessoa ou a empresa, não abra. Muita atenção quanto aos e-mails de empresas, bancos, etc., porque podem ter sido clonados.

Cuidados Virtuais

Se você toma alguns cuidados para garantir sua proteção quando sai de casa é porque sabe do risco de assaltos e outros crimes. A internet também se mostra como um lugar perigoso e é necessário alguns cuidados para evitar golpes, roubo de arquivos e senhas, ou espionagem de suas atividades nas contas de e-mail ou até mesmo em seu PC.

1 - Saia usando Logout, Sair ou equivalente

Ao acessar seu webmail, sua conta num site de comércio eletrônico, seu home banking ou qualquer outro serviço que exige que você forneça um nome de usuário e uma senha, clique em um botão/link de nome Logout, Logoff, Sair, Desconectar ou equivalente para sair do site. Pode parecer óbvio, mas muita gente simplesmente sai do site fechando a janela do navegador de internet ou entrando em outro endereço. Isso é arriscado porque o site não recebeu a instrução de encerrar seu acesso naquele momento e alguém mal-intencionado pode abrir o navegador de internet e acessar as informações de sua conta, caso esta realmente não tenha sido fechada devidamente.

2 - Crie senhas difíceis de serem descobertas

Não utilize senhas fáceis de serem descobertas, como nome de parentes, data de aniversário, placa do carro, etc. Dê preferência a seqüências que misturam letras e números. Além disso, não use como senha uma combinação que tenha menos que 6 caracteres. O mais importante: não guarde suas senhas em arquivos do Word ou de qualquer outro programa. Se necessitar guardar uma senha em papel (em casos extremos) destrua-o assim que decorar a seqüência.

3 - Use navegadores diferentes

O Windows está presente na grande maioria dos computadores e, conseqüentemente, o Internet Explorer também. O problema é que existe uma infinidade de pragas digitais (spywares, vírus, etc) que exploram falhas desse navegador. Por isso, use navegadores como o Opera ou o Firefox, pois embora estes também possam ser explorados por pragas, isso ocorre com uma freqüência muito menor neles. Se preferir usar o Internet Explorer, use um navegador alternativo nos sites que você considerar suspeitos (sites que abrem muitas janelas, por exemplo).

4 - Cuidado com downloads

Se você usa programas de compartilhamento de arquivos como KaZaA ou eMule, fique atento ao que baixar. Ao término do download, verifique se o arquivo não possui mais de uma extensão (por exemplo, cazuza.mp3.exe), se ele possui um tamanho muito pequeno ou se suas informações parecem suspeitas, pois muitos vírus se passam por arquivos de áudio, vídeo e outros para enganar o usuário. Além disso, sempre examine o arquivo baixado com um antivírus.

Também tome cuidado com sites que pedem para você instalar programas para continuar a navegar ou para usufruir de algum serviço. Ainda, desconfie de ofertas de programas milagrosos, capazes de dobrar a velocidade de seu computador ou de melhorar sua performance, por exemplo.

5 - Atente-se ao usar MSN, Google Talk, AIM, ICQ, entre outros

Alguns vírus já estão explorando sistemas de mensagens instantâneas, tais como MSN Messenger, AOL Instant Messenger, ICQ, Yahoo! Messenger, entre outros. Essas pragas são capazes de emitir uma mensagem que contém um link para um vírus ou para um programa-espião automaticamente numa conversa. Nessa situação, é natural que a parte que recebeu a mensagem pense que seu contato é que a enviou e clica no link com a maior boa vontade:

Mesmo durante uma conversa, se receber um link que não estava esperando, pergunte ao contato se, de fato, ele o enviou.

6 - Cuidado com e-mails falsos

Recebeu um e-mail dizendo que você tem uma dívida com uma empresa de telefonia ou afirmando que um de seus documentos está ilegal, como mostra a imagem abaixo?

Ou, ainda, a mensagem te oferece prêmios ou cartões virtuais de amor? É provável que se trata de um scam, ou seja, um e-mail falso. Se a mensagem tiver textos com erros ortográficos e gramaticais, fizer ofertas tentadoras ou tem um link diferente do indicado (para verificar o link verdadeiro, basta passar o mouse por cima dele, mas sem clicar), desconfie imediatamente. Na dúvida, entre em contato com a empresa cujo nome foi envolvido no e-mail.

7 - Evite sites de conteúdo duvidoso

Muitos sites contêm em suas páginas scripts capazes de explorar falhas do navegador de internet, principalmente do Internet Explorer. Por isso, evite navegar em sites pornográficos, hackers ou que tenham qualquer conteúdo duvidoso.

8 - Cuidado com anexos de e-mail

Essa é uma das instruções mais antigas, mesmo assim, e-mail é a principal forma de disseminação de vírus. Tome cuidado ao receber mensagens que te pedem para abrir o arquivo anexo, principalmente se o e-mail veio de alguém que você não conhece.

9 - Atualize seu antivírus e seu anti-spyware

Muita gente pensa que basta instalar um antivírus e seu computador estará protegido, mas não é bem assim. É necessário atualizá-lo regularmente, do contrário, o antivírus não saberá da existência de vírus novos. Praticamente todos os antivírus disponíveis permitem configurar uma atualização automática. Além disso, use um anti-spyware com freqüência para tirar arquivos e programas maliciosos de seu computador. Uma boa opção é o Spybot. Assim como no antivírus, o anti-spyware também deve ser atualizado para que este conheça as pragas novas.

Em ambos os casos, verifique no manual do software ou no site do desenvolvedor, como realizar as atualizações.

10 - Atualize seu sistema operacional

O Windows é o sistema operacional mais usado no mundo e quando uma falha de segurança é descoberta nele, uma série de pragas digitais são desenvolvidas para explorá-la. Por isso, vá em Iniciar / Windows Update e siga as orientações no site que abrir para atualizar seu sistema operacional. Fazer isso uma vez ao mês é suficiente para manter seu sistema operacional atualizado.

11 - Não revele informações importantes sobre você

Em salas de bate-papo, no Orkut ou em qualquer meio em que você esteja lidando com um desconhecido: evite dar detalhes da escola ou da faculdade que você estuda, do lugar onde você trabalha e principalmente de onde você mora. Essas informações podem ser usadas para criminosos te localizarem. De igual forma, não revele seu número de telefone. Golpistas podem usá-lo para fazer ameaças ou alguém mal-intencionado pode te passar trotes.

12 - Cuidado ao fazer cadastros

Muitos sites exigem que você faça cadastro para usufruir de seus serviços, mas isso pode ser uma cilada. Por exemplo, se um site pede o número do seu cartão de crédito sem ao menos ser uma página de vendas, as chances de ser um golpe são grandes. Além disso, suas informações podem ser entregues a empresas que vendem assinaturas de revistas ou produtos por telefone. Ainda, seu e-mail pode ser inserido em listas de SPAMs.

Por isso, antes de se cadastrar em sites, faça uma pesquisa na internet para verificar se aquele endereço tem registro de alguma atividade ilegal. Essa dica é válida principalmente para sites que cadastram currículos.

Finalizando

Se proteger no "mundo virtual" pode ser um pouco trabalhoso, mas é importante para evitar transtornos maiores. A maioria dos golpes e das "ciladas" pode ser evitada se o usuário estiver atento, por isso é recomendável praticar as dicas mencionadas nesta página.

Cuidados com Serviços bancários pela Internet

Quando for fazer uso dos serviços bancários pela internet, siga 3 dicas básicas:

1 - Minimize a página.

Se o teclado virtual for minimizado também, está correto.

Se ele permanecer na tela sem minimizar, é pirata!

Não tecle nada.

2 - Sempre que entrar no site do banco, digite SUA SENHA ERRADA na primeira vez.

Se aparecer uma mensagem de erro, significa que o site é realmente do banco, porque o sistema tem como checar a senha digitada.

Mas se digitar a senha errada e não acusar erro, é mau sinal.

Sites piratas não têm como conferir a informação, o objetivo é apenas capturar a senha.

3 - Sempre que entrar no site do banco, verifique se no rodapé da página aparece o ícone de um cadeado.

Além disso, clique 2 vezes sobre esse ícone; uma pequena janela com informações sobre a autenticidade do site deve aparecer.

Em alguns sites piratas, o cadeado pode até aparecer, mas será apenas uma imagem e, ao clicar 2 vezes sobre ele, nada irá acontecer.

Estes procedimentos são simples, mas garantirão que você jamais será vítima de fraude virtual.

Truque para combater os virus

Esta é uma recomendação simples de um Diretor Técnico da HP.

Este truque é realmente engenhoso pela sua simplicidade.

Quando um vírus entra no seu computador, normalmente ele se encaminha diretamente ao seu livro de endereços, e envia-se a si mesmo para todas as direções que ali encontra, infectando assim todos os seus contactos.

Então experimente usar a seguinte técnica:

1- Abra a sua agenda de contactos e faça um "click" em "novo contato", como se estivesse adicionando um contacto novo.

2- Na janela onde escreverá o novo nome, ponha "AAAA". (Ou qualquer outro nome com vários "As" no
início para ter certeza de que será o primeiro contacto da sua lista) (Pode-se usar: AAAA ALERTA DE VÍRUS)

3- Crie um endereço de e-mail falso como por exemplo: aaaaaaaaa@aaaaa.com

Explicando :
Desta forma o nome designado como AAAA, com o endereço acima, ficará como a entrada n.° 1 da sua agenda.

Será ali que os vírus começarão o seu esforço para se auto-enviarem a todos os outros contactos relacionados por ordem alfabética da sua agenda.
É óbvio que será impossível entregar a mensagem no falso endereço criado.

Quando a primeira tentativa falha (coisa que se sucederá por causa da falso endereço), o vírus não continua e os componentes da agenda não serão infectados.

Além disto, a segunda vantagem deste método, é que, se um e-mail contaminado não pode ser entregue, será notificado na sua caixa de e-mail quase imediatamente.

Portanto, ao receber um aviso que diz que uma mensagem sua para "AAAA" não pôde ser entregue, saberá de forma rápida que tem um vírus instalado no seu computador.

Se todos nós usássemos este sistema tão simples, e até banal, os atuais vírus não poderiam se propagar tão facilmente e o número de computadores infectados diminuiria drasticamente.

Dez dicas básicas de prevenção contra pragas virtuais para administradores de rede.

1 - Instalar todos os patches de correção de vulnerabilidades nos programas utilizados pelo sistema;

2 - Garantir que os usuários finais não desabilitem o programa de antivírus do desktop;

3 - Em nível de administração de redes, garantir que o gateway bloqueie a entrada de determinados arquivos com extensões do tipo ".exe", ".vbp", entre outros;

4 - Na configuração do firewall, fechar portas não utilizadas;

5 - Instalar programa antivírus em todos os pontos de acesso da rede, além de mantê-los constantemente atualizados;

6 - Empregar uma Camada 7, que permite o gerenciamento da entrada e saída de dados. Pode parecer óbvio, mas muitas organizações não utilizam esse processo;

7 - Garantir a segurança de redes wireless, pois elas são perfeitos caminhos para programadores de vírus e worms disseminarem suas criações;

8 - Retirar serviços desnecessários da rede;

9 - Se precaver contra vulnerabilidades em "open shares" e "Web traversal". Utilizar sempre senhas fortes.

10 - Mapear todos os dispositivos móveis conectadas na rede. Eles podem não ser alvos, mas podem carregar arquivos maliciosos.