Cuidados a ter com a Ligação à Internet PDF Imprimir
Criado em segunda, 05 junho 2006 15:40
Escrito por João Pagaime

Recomendação de segurança sobre cuidados a ter com a Ligação à Internet.

 

Introdução

Este documento disponibiliza informação sobre os riscos de segurança e respectivas contra-medidas, associados à ligação do computador à Internet, em especial numa configuração de “sempre-ligado”, como é habitual em ligações ADSL ou por cabo. Muito do conteúdo é porém relevante para ligações à Internet intermitentes, que recorrem a modens aplicados em linhas tradicionais de voz.

Segurança informática

Nos termos mais simples, a segurança informática é um processo para detectar e prevenir o acesso indevido ao seu sistema informático. As medidas de prevenção ajudam a impedir utilizadores não autorizados, também designados de “intrusos”, a aceder a partes do seu sistema informático. As medidas de detecção ajudam a determinar a existência de tentativas de intrusão no seu sistema informático, e, caso tenham sido bem sucedidas, a conhecer o que foi feito pelo intruso.

Porquê preocupar com a segurança de computadores?

Os computadores são usados para muitas funções, desde gestão de contas bancárias, compras, comunicação com outras pessoas via email ou programas de conversa. Apesar de provavelmente não considerar as suas comunicações com secretas, com certeza não quererá que estranhos possam ler o seu email, usem o seu computador para lançar ataques de segurança a outros sistemas, enviem email forjado a partir do seu computador, ou examinem informação pessoal presente no disco.

Quem quererá entrar no meu computador?

Os intrusos, também designados de hackers ou crackers, podem não ter interesse pela sua identidade. Tipicamente apenas pretendem obter controlo do seu computador para poderem lançar ataques a outros sistemas mais atractivos.

Ter o controlo do seu computador habilita o intruso a esconder a sua verdadeira localização, quando lança outros ataques, possivelmente contra sítios na Internet de alto perfil, como por exemplo sistemas governamentais ou de instituições financeiras. Mesmo que tenha um computador ligado à Internet apenas para correr os últimos jogos, ou enviar email aos seus amigos, o seu computador é um alvo.

Ter o controlo do seu computador significa, entre outras possibilidades, que os intrusos podem vigiar as suas acções no sistema, e adulterar ou destruir dados.

Quão fácil é entrar no meu computador?

Infelizmente os intrusos estão constantemente à procura de vulnerabilidades de segurança no software dos computadores. A complexidade do software torna muito difícil que seja produzido sem falhas de segurança.

Quando as vulnerabilidades são descobertas, os vendedores normalmente disponibilizam remendos de segurança que reparam o problema. Porém fica a cargo do utilizador do computador a tarefa de obter e aplicar esses remendos, e de configurar e operar o sistema com um perfil de segurança controlado.

A maioria dos incidentes de segurança podem ser evitados se os sistemas informáticos estiverem devidamente actualizados, no que diz respeito a remendos de software e outras medidas simples.

Adicionalmente, algumas aplicações de software tem configurações por omissão com baixo perfil de segurança, que maximizam a facilidade de utilização do produto. Exemplo disso são os programas de navegação na Internet, também designados de browsers, que permitem à partida a colocação de software no seu computador de forma pouco  ontrolada. Esse software pode ser danoso.

Como são os serviços de acesso em banda-larga diferentes?

Há poucos anos atrás os acessos à Internet a partir do domicílio faziam-se normalmente através das linhas tradicionais de voz, sendo a natureza da ligação do tipo “a pedido”, ou seja, o utilizador estabelecia uma ligação quando precisava de aceder, e desligava-a quando deixava de precisar. A contabilização deste tipo de acesso era feita por tempo de ligação. Tipicamente, cada vez que se estabelecia uma ligação, o operador, ou ISP, atribuía um endereço de rede IP diferente da última ligação realizada. Esta constante mudança de endereços IP, tinha como efeito secundário dificultar a um atacante estabelecer alvos bem conhecidos.

Os serviços de acesso tipo “sempre-ligado”, normais nos acesso de banda larga, proporcionam ao potencial atacante um alvo mais fixo, devido à persistência do endereço IP no mesmo computador ao longo do tempo. Alguns operadores, ou ISPs, inclusivamente disponibilizam um serviço acrescido para dispensar um endereço IP fixo ao cliente, que permite a instalação de aplicações específicas com  essa necessidade.

A tabela abaixo faz uma comparação dos serviços tradicionais de acesso e de bandalarga.

Tradicional Banda-larga
Tipo de Ligação Ligar a pedido Sempre ligado
Endereço IP Muda em cada ligação Muda com pouca frequência, ou  mesmo estático (não muda)
Débito da Ligação Baixo Alto
Possibilidade controlo remoto Computador tem que estar ligado e o seu endereço de  rede ser conhecido Computador está ligado à rede em largos períodos de tempo, ou mesmo permanentemente, pelo que há maior facilidade de acesso
Segurança proporcionada pelo ISP Baixa Baixa

Tabela 1: comparação dos serviços tradicionais de acesso e de banda-larga

Que principais diferenças há da minha ligação em banda-larga da ligação que uso no trabalho?

As redes governamentais e corporativas estão tipicamente protegidas por múltiplas camadas de segurança, desde equipamentos de controlo de acesso de tráfego (firewalls) até esquemas de cifra. Em adição, essas redes tendem a dispor de manutenção técnica especializada.

Apesar do operador, ou ISP, ser responsável por manter os serviços prestados, provavelmente não terá à disposição pessoal especializados para gerir e operar a sua rede ou computador. Fica do lado do utilizador a responsabilidade pela rede de casa, e, como resultado, o utilizador deve tomar precauções razoáveis para se proteger de utilização indevida acidental ou intencional.

O que é um endereço IP?

Os endereços IP são análogos aos números de telefone – quando se telefona para alguém, primeiramente é necessário saber o seu número de telefone. De forma semelhante, quando um computador ligado à Internet precisa de enviar dados para outro, precisa conhecer o seu endereço IP. Os endereços IP são tipicamente representados como quatro números separados por pontos, como por exemplo, “193.136.0.1”.

Antes de se telefonar a alguém, normalmente recorre-se à lista telefónica para obter o seu número. De forma semelhante os computadores recorrem a um serviço de directório, chamado DNS (Domain Name System) para traduzir os nomes paraendereços IP. Por exemplo, o nome “www.cert.pt” traduz-se actualmente para o  endereço IP “193.136.2.194".

Todos os computadores ligados à Internet tem um endereço IP associado. Porém esse endereço pode mudar ao longo do tempo.

Há endereços IP designados de públicos, ou globais, para os quais a rede conhece o caminho para chegar até eles, e há endereços IP privados, de âmbito local, para os quais a rede global não proporciona um caminho directo, excepto através de traduções para endereços públicos ou globais. O sistema de tradução designa-se de NAT, que significa Network Address Translation. Os endereços IP públicos tem mais valor do que os privados, porque permitem uma utilização mais flexível e menos problemática da rede.

O que é uma firewall?

Em termos gerais uma firewall é sistema um controlo de acesso de tráfego que se interpõem entre diferentes redes.

No contexto das redes ou computadores de acesso em casa, as firewalls costumam tomar as seguintes formas:

  • Software especializado a correr no computador de acesso à Internet; ou
  • Firewall de rede, que é um dispositivo dedicado à função de protecção de um ou mais computadores.

Ambos os tipos de firewall possibilitam ao utilizador a definição de políticas para ligações de vem de fora (Internet) para dentro do computador que estão a proteger.

Existem firewalls para utilização pessoal, por vezes de distribuição gratuita, designadas por “personal firewalls”. Alguns sistemas operativos já vem com este tipo de funcionalidades.

A maioria das firewalls disponíveis para utilização doméstica vem pré-configuradas, podendo o utilizador parametrizar a partir das configurações iniciais.

O que faz o software anti-virus?

O software anti-virus procura por padrões em ficheiros e na memória do computador que indiciem a presença de vírus, recorrendo para isso a uma base de dados de assinaturas, actualizada periodicamente. Os vírus encontrados são normalmente erradicados automaticamente, sendo no fim do processo produzido um relatório de execução.

É importante que o software anti-virus actualize regularmente a base de dados de assinaturas.

Quais são os riscos?

A segurança da informação centra-se nas seguintes áreas:

  • Confidencialidade – preocupação em disponibilizar informação apenas a entidades autorizadas;
  • Integridade – garantir a não adulteração dos dados;
  • Disponibilidade - preocupação em disponibilizar informação às entidades autorizadas quando a informação é necessária.

Estes conceitos aplicam-se mesmo aos utilizadores domiciliários. Provavelmente não quererá que estranhos consigam aceder ou adulterar a sua informação.

Alguns riscos de segurança tem origem na possibilidade de utilização indevida do seu computador através da Internet. Outros riscos existem mesmo sem a presença de ligação à Internet, sendo inerentes à informática em geral, como por exemplo a falha de componentes de suporte físico, como os discos, energia, etc. Infelizmente não é possível planear contra-medidas para todos os riscos. Porém há pequenos passos que se podem dar para a protecção contra as ameaças mais comuns.

Riscos mais comuns

  1. Programas designados de cavalos de Tróia – são programas instalados, a pedido ou por artifícios de engano, por utilizadores mais crédulos ou menos conscientes dos perigos. Estes programas permitem ao intruso ganhar controlo sobre o computador. Exemplo: programa recebido por email com instruções para instalação. Mais informação, em Inglês, pode ser encontrada no sítio da Internet http://www.cert.org/advisories/CA-1999-02.html.
  2. Ferramentas de administração remota – Em sistemas windows, estas ferramentas são usadas regularmente pelos intrusos. Exemplos: BackOrifice, Netbus e SubSeven. Estas ferramentas permitem controlar o computador remotamente. Mais informação, em Inglês, pode ser encontrada no sítio da Internet http://www.cert.org/vul_notes/VN-98.07.backorifice.html.
  3. Negação de Serviço ou DoS (Denial of Service) – Este ataque tem por objectivo provocar a indisponibilidade de sistemas na rede. Exemplos: saturação da ligação à Internet com tráfego meramente de atulhamento, ping-of-death e outros. É importante notar que um computador controlado remotamente por um intruso pode ser usado para participar num ataque DoS como atacante. Mais informação, em Inglês, pode ser encontrada nos sítios da Internet http://www.cert.org/advisories/CA-2000-01.html e http://www.cert.org/archive/pdf/DoS_trends.pdf.
  4. Ser intermediário em ataques - Os intrusos usam frequentemente computadores comprometidos para lançar ataques a outros sistemas. Exemplo disso são os ataques de negação de serviço distribuídos por milhares de origens na Internet, nos quais cada origem participa inconscientemente no ataque.
  5. Partilhas de rede não protegidas – estas partilhas podem ser usadas pelos atacantes para colocar ferramentas de intrusão em largas quantidades de computadores na Internet. Um grande risco para a comunidade Internet é constituído pelo potencial número elevado de instalações com partilhas de rede não protegidas, que podem ser combinadas com ferramentas de ataques de negação de serviço, como as descritas, em Inglês, no sítio da Internet http://www.cert.org/incident_notes/IN-2000-01.html. Outras ameaça a estas partilhas de rede são os vírus de propagação automática, designados de “worms”. Um exemplo pode ser consultado, em Inglês, no sítio http://www.cert.org/incident_notes/IN-2000-03.html. Há também potencial para emergirem outros mecanismos de exploração de partilhas não protegidas. A protecção mais comum das partilhas consiste em associar-lhes uma palavra chave secreta.
  6. Programas móveis (Java/JavaScript/ActiveX) – Há relatos de problemas com programas móveis. Este tipo de programas vem tipicamente das páginas na Internet que visitamos, e podem ser executados no seu browser. Recomenda-se que se desligue as funções de execução de programas móveis quando se visitarem sítios não familiares ou nos quais não se confie. Os problemas verificados na navegação na Internet com programas móveis, também se aplicam os emails recepcionados em agentes com capacidades de processar esses programas. Mais informação sobre este tema, em Inglês, pode ser encontrada nos sítios da Internet http://www.cert.org/tech_tips/malicious_code_FAQ.html e http://www.cert.org/archive/pdf/activeX_report.pdf.
  7. Execução cruzada de programas entre sítios da Internet, também designado de cross-site-scripting – pode ser embebido código malicioso em programação do tipo “web”, em URLs, elementos de formulários ou acessos a base de dados, que quando corrido, faz transferir e executar esse código malicioso no seu browser. Pode expor o seu browser a este tipo de ataque quando (a) segue ligações em páginas, emails ou artigos de grupos, sem saber onde vão ter; (b) usar formulários “web” que não são de confiança; ou (c) aceder a grupos de discussão ou outros conteúdos que permitam a existência de código HTML não confiável. Mais informação sobre este tema, em Inglês, pode ser encontrada nos sítios da Internet http://www.cert.org/advisories/CA-2000-02.html.
  8. Emails forjados – Os emails forjados parecem ter uma origem quando na verdade tem outra. Esta técnica é frequentemente usada para ludibriar os utilizadores a fornecerem informações confidenciais, como as credenciais para entrar em sistemas de gestão de contas bancárias. Os emails forjados podem ser muito convincentes se parecerem vir de supostos administradores de sistemas informáticos, que solicitam a realização de determinadas acções sob pena de cancelamento da conta informática. Na verdade esses emails apenas pretendem obter algum beneficio para o atacante. Em caso de dúvida o utilizador deve contactar os serviços por outros meios, como por exemplo o telefone.
  9. Vírus com origem nos emails – os vírus e outros tipos de código malicioso frequentemente propagam-se através de anexos dos emails. Não deve abrir anexos dos emails com suspeita de serem ilegítimos, não bastando reconhecer a suposta origem do email, para confiar no anexo, já que a origem do email pode ser facilmente contrafeita. Muitas vezes estes vírus propagam-se devido ao assunto do email que sugere ao utilizador um conteúdo particularmente interessante, como por exemplo de natureza humorística. Mais informação sobre este tema, em Inglês, pode ser encontrada nos sítios da Internet http://www.cert.org/advisories/CA-2001-22.html (W32/Sircam) ou http://www.cert.org/incident_notes/IN-2001-15.html (W32/Goner).
  10. Extensões de ficheiros escondidas – O sistema operativo windows tem uma função de “esconder a extensão de tipos de ficheiros conhecidos”, função essa que vem activada por omissão, mas pode ser desligada pelo utilizador. Muitos vírus de email tiram partido desta “função”, enviando em anexo ficheiros que parecem ser de um tipo inofensivo, mas que na realidade são programas maliciosos. Exemplo disso são os vírus do tipo:
    • VBS/LoveLetter – continha um anexo chamado "LOVE-LETTER-FORYOU.TXT.vbs"
    • Downloader (MySis.avi.exe ou QuickFlick.mpg.exe)
    • VBS/Timofonica (TIMOFONICA.TXT.vbs)
    • VBS/CoolNote (COOL_NOTEPAD_DEMO.TXT.vbs)
    • VBS/OnTheFly (AnnaKournikova.jpg.vbs)

    Mais informação sobre este tema, em Inglês, pode ser encontrada no sítio da Internet http://www.cert.org/other_sources/viruses.html.

  11. Programas de conversa – Os programas de conversa na Internet, como as aplicações de mensagens instantâneas, e IRC (Internet Relay Chat), proporcionam um ambiente em que a informação pode ser transmitida de forma bi-direccional entre computadores, incluindo aplicações que podem ser de natureza maliciosa. Como sempre especial cuidado deve ser tido na troca de ficheiros entre utilizadores não autenticados.
  12. Escuta de tráfego, também designado de sniffing – este tipo de programas captura dados tal como viajam na linha de comunicações. Tais dados podem incluir credenciais secretas para acesso a algum tipo de serviço telemático. Caso seja possível instalar um sniffer num ponto estratégico da rede, é possível capturar grandes quantidades de informação confidencial, como por exemplo, chaves para acesso a caixas de correio alojadas remotamente na Internet. A rede por cabo está especialmente vulnerável a este ataque devido à sua natureza de difusão, nos segmentos finais junto aos utilizadores. Caso detecte um sniffer a correr no seu computador, isso indicia quase certamente utilização indevida do computador. As redes sem fios também são especialmente vulneráveis a este ataque devido à sua natureza de transmissão não-guiada, e portanto recomenda-se a utilização de sistema de cifra eficaz para estas redes.

Recomendações

  1. Consultar o suporte técnico – se trabalha a partir de casa através do acesso de banda larga, ligando-se através de uma VPN (Virtual Private Network) ou outros meios, a sua entidade empregadora pode ter políticas e procedimentos relacionados com a segurança informática. Deve consultar estes serviços conforme apropriado antes de seguir instruções presentes nestas recomendações.
  2. Utilize um sistema anti-vírus – recomenda-se a utilização de um sistema antivírus nos computadores com acesso à Internet. Certifique-se que o anti-vírus está devidamente actualizado. Uma base de dados de assinaturas com mais do que alguns dias, não deve ser considerada como actualizada. Deve usar as facilidades de actualização automática do sistema anti-vírus. Mais informação sobre este tema, em Inglês, pode ser encontrada no sítio da Internet http://www.cert.org/other_sources/viruses.html#VI. Os sistemas anti-vírus não são totalmente eficazes devido a deficiências de instalação ou funcionamento, e também porque há uma quantidade pequena de vírus novos ou pouco populares, para os quais não foi criada a respectiva “cura” no sistema anti-vírus.
  3. Utilize um sistema de firewall – recomenda-se a utilização de um sistema de firewall nos computadores ligados à Internet. Processos controlados por intrusos estão constantemente a percorrer os endereços da Internet à procura de computadores vulneráveis. Os sistemas de firewall proporcionam boa protecção contra este tipo de ataques de reconhecimento. Deve evitar a postura de considerar que após a instalação de uma firewall, os problemas de segurança ficam resolvidos.
  4. Mantenha o software do computador devidamente actualizado. Constantemente são descobertas vulnerabilidades de segurança no software, sendo produzidos remendos para reparar esses problemas. Active os processos de actualização automatizada do software. Receba e trate notificações email dos fabricantes e/ou vendedores de software no sentido de realizar actualizações. Verifique regularmente o estado de actualização do software instalado contra a informação disponibilizada pelo fabricante e/ou vendedor.
  5. Robustecer rede sem fios. As redes sem fios configuradas por omissão podem fornecer acesso à Internet a entidades terceiras, ou intrusos, distantes até algumas centenas de metros, devido à natureza não-guiada da transmissão de dados. Esse acesso indevido é indesejável por várias razões, como por exemplo por possibilitar a utilização da rede não protegida para lançar ataques graves na Internet, cujos actos consequentes serão primeiramente imputados ao dono da rede sem-fios, em sede de uma investigação criminal. A rede sem fios deve ser configurada com os mecanismos de segurança possíveis, que normalmente passam por (a) configuração de chave de cifra WEP na antena e nos postos de acessos; e (b) configuração na antena de listas de acesso por endereço MAC dos postos. Para maior segurança recomenda-se a utilização de um sistema baseado em 802.1X que substitui regular e automaticamente as chaves de cifra, dificultando muito ataques de quebra da cifra por métodos de força bruta. Esses ataques requerem conhecimentos   amadores de informática, mas um investimento relevante em tempo de preparação, podendo derrotar as protecções “(a)” e “(b)” referidas anteriormente.
  6. Desligue o computador da Internet quando esta não estiver a ser necessária. Esta prática dificulta o controlo remoto do computador, devido aos períodos mais reduzidos em que o computador está acessível pela rede. Alguns modems tem um botão que inibe a ligação à rede, o que poderá ser usado para ligar e desligar o acesso com comodidade.
  7. Não abra anexos de email desconhecidos – antes de abrir um anexo, tenha o cuidado de avaliar o risco de ser código malicioso. Abra o anexo apenas se achar que é legítimo, notando que a origem do email pode ser facilmente contrafeita. Os vírus de email são tipicamente revestidos de forma a parecerem ter conteúdo humorístico ou de outras formas interessante. Caso se veja na contingência de ter que abrir um anexo sobre o qual recaiam dúvidas, recomenda-se o seguinte procedimento: (i) gravar o anexo para o disco; (ii) correr o software anti-virus sobre o ficheiro; (iii) abrir o ficheiro. Para protecção adicional, deve desligar temporariamente o computador da rede. Desta forma nega o acesso à Internet ao vírus potencial.
  8. Não corra programas de origem duvidosa – esses programas podem ser cavalos de Tróia. Tal como os vírus em anexo de email, esses programas tendem a ser transmitidos com a promessa de produzirem algum tipo de entretenimento.
  9. Desligue a opção de “Extensões de ficheiros escondidas” – O sistema operativo windows tem uma função de “esconder a extensão de tipos de ficheiros conhecidos”. Instruções especificas, em Inglês, podem ser encontradas no sítio da Internet http://www.cert.org/incident_notes/IN-2000-07.html.
  10. Caso seja possível desligue as linguagens Java, JavaScript, e ActiveX. Notar que esta acção degradará as funcionalidades de navegação na Internet. Em concreto pode deixar de ser possível aceder à gestão de sua conta bancária pela Internet, entre outras limitações. Uma possibilidade para contornar este problema pode ser a permissão de usar estas tecnologias apenas em sítios bem conhecidos. Instruções especificas, em Inglês, podem ser encontradas no sítio da Internet http://www.cert.org/tech_tips/malicious_code_FAQ.html. Mais informação sobre este tema, em Inglês, podem ser encontradas no sítios da Internet http://www.cert.org/archive/pdf/activeX_report.pdf e http://www.cert.org/advisories/CA-2000-02.html.
  11. Desligar o processamento Java, JavaScript, e ActiveX do agente de email – ainda mais do que nos browsers, os programas para tratar email devem ser configurados para não processar este tipo de código. O maior cuidado tem a ver com o facto do utilizador não conseguir impedir que os emails com código malicioso sejam entregues na sua caixa de correio, ao contrário dos browsers, em que o utilizador tem algum poder discricionário sobre que sítios que visitar, com base numa análise de risco pessoal.
  12. Faça cópias de segurança periódicas, também designadas de backups, dos dados no seu computador. Essas cópias podem ser necessárias para recuperar o computador em caso de intrusão.
  13. Faça um disco de arranque amovível do seu computador. Esse disco poderá ser usado para iniciar o computador sem recorrer ao disco interno que pode estar comprometido, e não ser fiável, em caso de intrusão.
  14. Instalar um sistema contra-espião, também designado de anti-spyware. É difícil navegar eficazmente na Internet sem que o seu computador acabe por ser instalado com programas com objectivos duvidosos, mas que pela sua natureza, não pode ser catalogados directamente como vírus ou cavalos de Tróia. Esses programas tipicamente monitorizam partes do computador com algum tipo de objectivo comercial. Alguns sistemas operativos disponibilizam ferramentas para remoção destes programas “espiões”.

Fonte

Adaptação de “Home Network Security, CERT® Coordination Center” com adições relativamente a software spyware e redes sem fios.

 

Missão

O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.

PT EN
Participe Incidente

Contactos

Av. do Brasil 101 
1700-066 Lisboa 
Portugal

Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)  
Fax: +351 218472167

email:

pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7

Filiação

FIRST
Acreditação Internacional
Membro da Rede Nacional CSIRTs

Feeds RSS

Alertas

Recomendações

Notícias