Pontos de vista

Os 8 fundamentos da computação segura

Kevin Townsend, 23 Agosto 2019

Desde um navegador seguro até ter uma certa paranoia, aqui estão os fundamentos da segurança online.

Navegador seguro

Para a maioria de nós, nosso navegador é a internet. É com ele que acessamos diretamente informações e conteúdos online para trabalho, diversão, pesquisa, finanças, comunicação e quase qualquer coisa que fazemos quando estamos online. 

Como nosso primeiro, último e principal ponto de contato com o vasto mundo da internet, é importante nos assegurarmos que nossos navegadores estejam tão seguros quanto possível.

Felizmente, na maioria das vezes, os principais navegadores estão suficientemente seguros. Quer sejamos usuários do Firefox, do Edge, do Chrome, do Safari ou até mesmo do Opera, as funções de segurança desses navegadores são suficientes para atender às nossas necessidades básicas. De qualquer forma, isso vale para os navegadores completamente atualizados. Então, aprenda como buscar as atualizações no produto de sua escolha.

Mas ainda que o navegador esteja seguro, isso não vale para as extensões de terceiros. Extensões maliciosas são frequentemente associadas à “fraude de cliques”. Nela, o navegador é enviado a um site publicitário que usa pay per click para que o desenvolvedor da extensão ganhe dinheiro com as “visitas”. No começo de 2018, pesquisadores descobriram quatro extensões ligadas ao Chrome (Change HTTP Request Header; Nyoogle - Custom Logo for Google; Lite Bookmarks e Stickies - Chrome's Post-it Notes), que foram instalados por cerca de 500 mil usuários. A técnica também poderia ser usada para estabelecer uma brecha na rede local.

Em outubro de 2018, o Google introduziu novas medidas de segurança para impedir a instalação de extensões maliciosas em seu navegador Chrome. A medida resultou em uma queda de 89% nessas ações no decorrer de um ano. Apesar das melhorias, ainda é importante tomar cuidado com qualquer extensão que pretenda instalar. Antes de adicionar qualquer coisa ao seu navegador, verifique se não há nenhuma relação de problemas referente àquela extensão.

Não espere muito do seu navegador. É tentador pensar “eu não me importo em clicar nesse link, porque o Chrome vai me avisar sobre o seu potencial perigo”. Sim, o navegador pode fazer isso, mas, estatisticamente falando, é improvável que você seja avisado. Uma pesquisa* recente sugere que há mais de 17,5 milhões de sites infectados com malwares. Apenas 15% deles foram incluídos na lista negra das ferramentas de buscas, o que significa que há cerca de 15 milhões de sites infectados que o navegador não consegue identificar e, portanto, não pode nos alertar.

Pode valer a pena pesquisar sobre navegadores especializados com segurança aprimorada – como o Avast Secure Browser, construído com o Chromium, a mesma ferramenta usada pelo Google Chrome –, mas com funcionalidades de segurança mais robustas e resilientes.

Bloqueador de anúncios

À primeira vista, um bloqueador de propagandas parece mais um incremento básico voltado para a nossa qualidade de vida do que uma funcionalidade essencial de segurança. Todas aquelas janelas de pop-up, pop-under, banners e anúncios verticais rapidamente se tornam irritantes. Fechar todos eles certamente pode melhorar a experiência de navegação. De qualquer forma, por motivos de segurança, também é importante limitar a quantidade de anúncios que permitimos em nosso navegador. Anúncios podem ser vetores surpreendentemente efetivos para malwares e ciberataques, como é o caso do PayLeak*, que aconteceu no ano passado. O malware aparecia como anúncios legítimos, mas levava as pessoas para sites fraudulentos. Esse foi um ataque que teve como alvo as carteiras da Apple Pay.

Esse tipo de ataque é conhecido como malvertising, em que um anúncio aparentemente inofensivo rapidamente redireciona os usuários a sites maliciosos que tentam infectá-los com qualquer coisa, desde spywares até ransomwares.

Nos últimos anos, um outro problema tem crescido com os anúncios online. Já estamos acostumados com publicidade direcionada tentando nos vender algo que os marqueteiros acham que pode nos interessar. Mas, agora, há pessoas tentando nos vender dogmas políticos*. Houve esforços documentados e combinados para influenciar a cena política com publicidade direcionada. Elas apelavam para o lado psicológico dos usuários na tentativa de conquistar seus votos. Isso é uma engenharia social política na forma de propaganda online.

Há bons plugins de bloqueadores de anúncios disponíveis gratuitamente para a maioria dos navegadores. Um deles é uma funcionalidade embutida no Avast Secure Browser, que pode ser personalizada. Enquanto estiver usando um bloqueador de anúncios, é preciso não se esquecer de marcar os sites mais confiáveis para permitir que nossos blogs preferidos e sites de notícias continuem a manter sua reputação e receita por meio de publicidade legítima.

Antimalware

Com tantos sites maliciosos, malvertising e outras formas com que os cibercriminosos tentam roubar nossa identidade ou nos infectar com malwares, precisamos urgentemente dessa ajuda extra na segurança do nosso PC: uma solução antimalware. Mais cedo ou mais tarde, provavelmente um malware vai acabar entrando em nosso sistema. Quando isso acontecer, é preciso que ele seja removido o mais rápido e efetivamente possível.

Alguns sistemas operacionais contam com suas próprias ferramentas de remoção de malwares, como o Windows Malicious Software Removal Tool. Mas elas não são tão completas como as funcionalidades de aplicativos antimalware especializados. Então, é mais do que recomendável ter uma solução de antivírus efetiva, como o Avast Free Antivírus para se proteger contra ameaças externas. Com ele, você pode colocar arquivos suspeitos em quarentena e remover qualquer arquivo malicioso que possa ter invadido sua máquina.

Há muitos antimalwares gratuitos disponíveis. A maioria deles também conta com versões premium a um preço bastante em conta. Enquanto um detector e removedor de malware básico é o mesmo em ambas as versões, o sistema profissional geralmente oferece facilidades extras que fazem valer a pena a compra do produto.

Gerenciador (e gerador) de senhas

Uma senha forte é um dos passos mais básicos referentes à segurança na web, mas também é um dos mais ignorados e cheio de falhas. Um estudo* feito em 2019 pelo Centro Nacional de Cibersegurança do Reino Unido (NCSC, da sigla em inglês), entidade ligada ao serviço de inteligência britânico, descobriu que mais de 23 milhões de usuários no mundo todo ainda estão usando a sequência “123456” como senha. Uma palavra-chave boa é única, difícil de adivinhar e com alta entropia. Essa é uma forma efetiva de medir quanto tempo demoraria para um computador quebrar uma senha. A entropia do código aumenta na medida em que conta com mais caracteres e letras, números e símbolos misturados. Uma senha realmente forte é indestrutível em qualquer período de tempo relevante com os computadores de hoje em dia (a computação quântica irá quebrar essas coisas no futuro, mas essa é uma outra história para outra postagem).

Provavelmente estamos todos familiarizados com o grande problema de segurança envolvendo as senhas. Em teoria, deveríamos ter uma senha diferente para cada site e serviço que usamos. Além disso, cada senha precisa ser longa e complicada. Não é uma boa prática guardar recados escritos dos seus códigos. Se alguém tiver acesso ao arquivo ou ao bilhete de papel, isso pode dar acesso a todas as suas contas e informações protegidas com aqueles códigos. Mas para não enlouquecer, a maioria de nós já teve uma senha comprometida ao menos uma vez, quer seja por manter lembretes delas ou torná-las mais simples.

Nesse caso, um gerenciador de senhas bom e seguro não só vai solucionar o problema de exclusividade e complexidade, mas também será muito conveniente durante a navegação, já que ele irá inserir as senhas por nós. Um serviço como o Avast Passwords agiliza o processo de entrada em um site sem comprometer a entropia e a singularidade das senhas. Ele também pode gerar códigos únicos de alta entropia, impossíveis de se quebrar por “força bruta”. A única coisa que temos que nos lembrar é da senha mestra do serviço.

VPN

Redes virtuais privadas (VPN, da sigla em inglês) foram relativamente um nicho até pouco tempo atrás. Entretanto, com a crescente preocupação envolvendo a privacidade na web e publicidade dirigida mais intrusivas e de grande alcance, muitas pessoas estão começando a procurar por formas diferentes de preservar sua anonimidade online.

As VPNs funcionam conectando o tráfego da internet a um servidor de rede centralizado antes de direcionar os pedidos de acesso aos seus destinos. A rede privada coloca um endereço de IP novo e anônimo entre o nosso aparelho e os sites que visitamos. Isso significa que, mesmo com cookies de rastreamento ou sistemas maliciosos que monitoram tráfego, nossas atividades só podem ser rastreadas até o servidor da VPN, não até nós.

Tome cuidado ao escolher um provedor de VPN. Use apenas serviços confiáveis e conhecidos. VPNs de baixa reputação podem nos colocar em uma posição de vulnerabilidade. Mesmo que nosso tráfego não esteja ligado ou monitorado aos sites visitados, o provedor de VPN pode manter seus próprios registros. Se os donos da VPN forem inescrupulosos, esses dados podem ser vendidos* juntamente com suas informações pessoais, colocando você em uma posição ainda pior do que quando começou a usar a VPN. O Avast SecureLine VPN não registra a navegação ou o uso do aplicativo. Além disso, você pode testar o serviço gratuitamente por sete dias.

Backup de dados

Quer seja por um malware, dano no hardware ou uma falha catastrófica no software, algumas vezes nossos dispositivos apagam e perdemos acesso aos nossos arquivos. Há muitas formas de fazer backup de nossos dados. Poderíamos considerar um hardware de armazenagem externo, como um HD ou um solid-state drive (SSD). Eles mantém uma cópia dos nossos dados que pode ser recuperada durante muito tempo, mas também podem consumir muito tempo, caso precisem de atualização constante. Eles também estão sujeitos a danos físicos e obsolescência, o que pode exigir um custoso serviço de recuperação ou a perda definitiva dos seus dados.

Há também a opção de armazenamento em nuvem. Muitos dos grandes fornecedores desse serviço, como Dropbox, OneDrive e Amazon S3, oferecem armazenamento livre limitado, caso não precisemos de extensivos backups. Por outro lado, alguns dos serviços online gratuitos podem ser vulneráveis e terem a segurança configurada de modo inadequado. Um relatório* lançado no ano passado revela que 1,5 bilhões de registros, incluindo informações confidenciais, foram expostas graças à configuração incorreta do armazenamento online. Desde então, muitos outros foram descobertos. O caso mais recente aconteceu em maio, envolvendo informações de contato de milhões de influenciadores digitais do Instagram.

Enquanto serviços gratuitos podem ser suficientes para usuários individuais, pequenos negócios devem considerar a contratação de um serviço construído especificamente para proteger e recuperar backup de dados. Um bom serviço mantém arquivos importantes atualizados automaticamente e acessíveis a múltiplos dispositivos: algo como o Backup e Recuperação da Avast é o ideal.

Criptografia de dados

Normalmente, a criptografia de dados segue por trás das cortinas. Quando registramos uma senha para um serviço online, aquele código é armazenado (ou pelo menos deveria ser) em um formato embaralhado e misturado. Essa é uma forma de criptografia que impede os hackers de lerem nossas credenciais de acesso se conseguirem invadir o banco de dados do site. Uma combinação de controle e boas práticas torna essencial às empresas que criptografem qualquer informação confidencial dos seus clientes. Assim, de certa maneira, já estamos usando informações criptografadas. De qualquer forma, para segurança pessoal, seria ainda melhor pensar sobre criptografia de dados mais perto de casa.

Quando fazemos o backup de dados confidenciais, também vale a pena criptografá-los. Muitos serviços de armazenamento em nuvem criptografam os dados automaticamente, mas fazer a criptografia de dados locais pode exigir uma solução especializada.

Muitas VPNs oferecem criptografia para tráfego de saída da internet, mas elas não são as únicas soluções que podem manter suas atividades criptografadas. Também podemos ativar a criptografia em nossa rede Wi-Fi*. Veja o manual do roteador para mais informações sobre como configurar esse serviço. Se o navegador ou roteador oferece uma configuração para rejeitar conexões HTTP (o que vai garantir que seu computador aceite, quando disponível, apenas as conexões mais seguras no formato HTTPS), certifique-se de habilitar essa opção. O Avast Secure Browser conta com essa configuração habilidade automaticamente.

Finalmente, especialmente nos casos de computadores divididos entre vários membros da família, podemos querer criptografar certos arquivos ou pastas para mantê-los disponíveis apenas para seu dono. O Windows 10 conta com suas próprias funções de criptografia, mas há também muitos serviços de criptografia de arquivos, pastas e disco feitos por terceiros. Em geral, quando escolher um serviço de criptografia, escolha um algoritmo de criptografia bem conhecido, como o AES, Blowfish ou o seu sucessor Twofish. Evite criptografia desenvolvida pelo fornecedor, a não ser que ela tenha sido revisada profundamente pela comunidade criptográfica.

Uma saudável paranoia

De certa forma, esse oitavo fundamento para uma computação segura é o mais importante de todos. Ele é a paranoia, e funciona. Isso é essencialmente uma questão de se ter a atitude correta em segurança, sem contar que é o item mais barato e acessível dessa lista, mas também pode ser o mais difícil de se obter. As palavras “saudável” e “paranoia” não combinam muito do ponto de vista médico, mas quando se trata de segurança online, uma atitude paranoica pode ser a mais saudável de todas.

Precisamos ter a consciência de que qualquer endereço de e-mail pode ser falsificado. Não é porque alguma coisa parece confiável que ela realmente será confiável. Compensa desconfiar de qualquer coisa na internet – e-mail, site, mídia social, etc. – que peça por qualquer informação pessoal ou financeira, ou, ainda, que peça nossas credenciais de acesso.

Não confie automaticamente em links recebidos por e-mails e nunca abra um documento anexado quando ele não estiver sendo esperado. Na dúvida, ligue para a pessoa que enviou a mensagem para confirmar que se trata de algo genuíno.

Lembre-se de que bancos e organizações financeiras não pedem informações confidenciais em um e-mail ou em sites de mídias sociais. Tente encontrar análises independentes e imparciais de qualquer site ou serviço que esteja considerando usar. Visite as páginas da Avast com informações sobre phishing, engenharia social, fraudes e roubo de identidade. Ali você vai encontrar mais informações sobre como identificar e se defender contra esses tipos de ataques. Sempre se lembre da regra de ouro: não interessa o que está em oferta ou quão verossímil ela pareça, se parece bom demais para ser verdade, é porque não é.

Simplificando, devemos reverter aquele provérbio: “confie, mas verifique”. Para uma computação segura, é preciso verificar antes de confiar.

* Original em inglês.