Férias, finalmente! Entre todos os itens para a sua viagem encontra-se o essencial laptop. Uma das suas preocupações na escolha do hotel foi o acesso à Internet por wireless. Quando chega ao hotel existem vários pontos de acesso. Liga-se ao ponto de acesso que identifica o hotel. A página inicial que lhe aparece é a página de login do hotel a solicitar que seleccione um método de pagamento. A taxa cobrada é de 20 euros por dia, tanto quanto paga em casa por ter banda larga num mês. Por isso prefere ligar-se a um ponto de acesso que lhe promete uma boa velocidade e total segurança pelo preço mais módico de 6 euros. Selecciona o método de pagamento por cartão de crédito. Com acesso instantâneo à Internet compra também por cartão de crédito uma máquina fotográfica que fica muito mais barata na loja online.Por Baixo da Superfície
O que aconteceu no exemplo que iniciou o artigo é conhecido como um ataque "man-in-the-middle". Alguém no hotel criou uma página simples de login, ou copiou a própria página do hotel. Tal não exige muito conhecimento. É mesmo possível emular este tipo de ponto de acesso usando muitos dos routers Wi-Fi disponíveis comercialmente com o firmware modificado ou através de um computador portátil com Wi-Fi activado de modo a fazer parte de uma rede ad-hoc. Por trás desta página está uma ligação à Internet de outro utilizador com o intuito de levar a pensar que o processo de login está livre de transtornos.
Os dados inseridos podem ser recolhidos pelos cibercriminosos por trás do ataque. A partir daí pode ganhar acesso às informações de cartão de crédito e reunir mais informações sobre contas de e-mail, de lojas on-line ou de instituições financeiras.
Muitos dos programas conhecidos como programas sniffer também incluem funções para interpretar dados encriptados por SSL. Isto significa que mesmo a integridade das ligações alegadamente seguras para páginas de login não pode ser garantida. Dependendo da força da encriptação utilizada, os cibercriminosos podem ter que se esforçar um pouco mais, o que certamente será recompensado.
Os dados inseridos podem ser recolhidos pelos cibercriminosos por trás do ataque. A partir daí pode ganhar acesso às informações de cartão de crédito e reunir mais informações sobre contas de e-mail, de lojas on-line ou de instituições financeiras.
Muitos dos programas conhecidos como programas sniffer também incluem funções para interpretar dados encriptados por SSL. Isto significa que mesmo a integridade das ligações alegadamente seguras para páginas de login não pode ser garantida. Dependendo da força da encriptação utilizada, os cibercriminosos podem ter que se esforçar um pouco mais, o que certamente será recompensado.
Encriptação do Tráfego de Dados
O método mais eficaz para encriptar o tráfego de dados é através de uma VPN (Virtual Private Network). Em termos simples, cria-se o que é conhecido como um túnel VPN entre o laptop (computador do cliente) e um ponto de destino, ou servidor. Todo o tráfego enviado entre estes dois pontos é encriptado, o que significa que quaisquer dispositivos intermediários de transformação ou reencaminhamento de tráfego não são capazes de interpretar o conteúdo. Adicionalmente, todo o tráfego de dados é processado por esta via, ignorando assim qualquer bloqueio de portas criado pelo hotspot do fornecedor. A porta 80, usada para solicitações HTTP, é muitas vezes uma das portas não bloqueada, enquanto muitos outros serviços, como o instant messaging ou e-mail por POP3 ou IMAP, estão bloqueados.
O servidor VPN age como alvo da ligação e deve ser um computador confiável, parte de um ambiente seguro. Este servidor funciona como um "braço longo" do computador cliente, fazendo os pedidos aos servidores de destino na Internet e encaminhando de volta o conteúdo desejado sob forma encriptada.
Os utilizadores registam-se na VPN através do método clássico de utilizador e password. Este tipo de servidor VPN pode ser criado de várias maneiras e qualquer pessoa pode fazê-lo, desde que tenham um pouco de conhecimento especializado. Existem basicamente três opções para escolher um computador para a plataforma.
O servidor pode ser um computador alugado a um data center. Isto é válido tanto para servidores físicos como virtuais. A opção é especialmente atraente para as pessoas que já utilizam este tipo de computador, por exemplo, como host do seu próprio e-mail ou servidor web. Também é necessário um IP estático - ou um DynDNS se for usado um IP dinâmico – de modo a poder ligar-se em qualquer momento. Os servidores virtuais são uma opção particularmente atraente, uma vez que estas estão disponíveis a partir de 10 € por mês e o servidor VPN serviço requer muito poucos recursos. No entanto, é importante ter em conta o aumento do tráfego, pois ao utilizar uma VPN, todo o tráfego é encaminhado através dela.
Embora a utilização de uma VPN faça abrandar a velocidade de transferência, a chegada do projecto Draft N (sistema Wi-Fi, que permite teoricamente velocidades de transferência de 300 Mb / s) torna este facto desprezível. Tal aplica-se particularmente aos casos em que não são trocados grandes volumes de dados.
Uma alternativa mais independente é fornecida pelo UMTS. Esta opção permite aos utilizadores aceder à Internet em qualquer momento, independentemente da tecnologia Wi-Fi, desde que estejam numa área de recepção. A sua cobertura está no entanto disponível em grandes áreas. Tal contrasta com a disponibilidade dos hotspots, que embora numerosos, normalmente têm apenas um pequeno raio efectivo. Esta tecnologia já é relativamente barata, sobretudo quando comparada com os custos de um acesso Wi-Fi de um hotel. Uma vantagem adicional é que o custo é transparente desde o início, ou seja, não será surpreendido por encargos extra quando chega ao seu destino de férias.
Embora a rede UMTS seja baseada na segunda geração de GSM, por razões de compatibilidade, a terceira geração GSM também é suportada. Também por razões de segurança é preferível, pois os algoritmos de autenticação de utilizador e rede foram optimizados. As velocidades de transferência, que podem teoricamente atingir 14,6 Mb / s através de HSDPA e HSUPA, também são mais do que adequadas para a maioria dos fins.
O UMTS revela-se portanto uma boa alternativa ao Wi-Fi, especialmente para viajantes frequentes – as taxas base são calculadas numa base mensal, em vez de curtos períodos de tempo.
Para facilitar o intercâmbio de dados convenientemente entre computadores, as pastas e ficheiros podem ser partilhados numa rede. Esses objectos podem deste modo ser acedidos a partir de dentro da rede, seja com cabos ou wireless. Dependendo da forma como os itens partilhados estejam configurados, os utilizadores da rede podem acedê-las directamente (com permissões para ler e / ou escrever) ou solicitar autorização através de um acesso de utilizador e password. É, pois essencial que - depois de se abastecer de música e outros formatos multimédia para as suas férias, ou até de documentos internos da empresa que possa querer trabalhar - possa desactivar a função de partilha, uma vez que os dados sejam transferidos. Concerteza o utilizador não iria gostar de ter um convite aberto para que todos os seus vizinhos de rede para pesquisassem os seus ficheiros! Embora muitos hotspots tenham nas suas configurações tecnologias destinadas a proteger o computador de outras pessoas na rede, não há maneira de verificar directamente a presença desta função.
A desactivação de todas as partilhas aumenta consideravelmente o nível de segurança dos dados, mas persiste ainda o risco de um ataque hacker directo que poderiam tornar visíveis todos os dados no computador. Isto é perigoso em qualquer circunstância e mais ainda quando estão envolvidos dados sensíveis. Para aumentar o nível de protecção especificamente para este tipo de dados, deverá ter o seu backup apenas noutros dispositivos de armazenamento. Existem ainda programas gratuitos disponíveis para este efeito distribuídos com licença GPL (General Public License). Estes podem ser usados para criar ficheiros encriptados que só podem ser abertos com uma password. A encriptação usada para criar estes ficheiros é extremamente forte - mesmo um supercomputador levaria anos para abri-los através do método de força bruta. Uma condição essencial para a sua segurança é evidentemente uma password forte, constituída por mais de oito caracteres, letras maiúsculas e minúsculas, bem como números e símbolos não-alfanuméricos. Aqui, também, se aplica o mesmo princípio: este ficheiro deve ser aberto apenas quando é necessário e fechado imediatamente. Afinal, mesmo o mais seguro dos cofres é inútil se a porta está aberta. Para além do aumento da segurança das redes wireless, estas precauções também oferecem outra grande vantagem: se o computador portátil se perder, os dados sensíveis permanecerão privados.
É também muito importante que o utilizador implemente uma solução eficaz de segurança para a Internet. Para além das funcionalidades básicas (protecção contra malware), esta área também requer módulos de protecção de rede, nomeadamente uma firewall e um HIPS (Host Intrusion Prevention System). Afinal, para que serve a ligação de rede mais segura se o próprio sistema já se encontrar comprometido? O programa realiza uma análise complexa para avaliar as aplicações desconhecidas a serem executadas no PC e fornecer uma classificação da ameaça. Essa classificação serve como base para a atribuição de direitos de acesso aos programas. Se uma aplicação é classificada como suspeita, limitar-se-á o acesso a recursos importantes como o sistema operativo, rede, dados confidenciais, sistema de privilégios ou de certos dispositivos. Tal limita a possibilidade de infecção pelo código malicioso. Neste capitula também será importante referir a importância de manter o sistema e aplicações actualizados.
Mas será sempre essencial para o utilizador ter alguma dose de cepticismo em relação a redes menos familiares, adaptando a sua conduta na Internet para estes casos.
Autor : Ricardo Hernandez, Director Técnico da Kaspersky Ibéria
Os utilizadores registam-se na VPN através do método clássico de utilizador e password. Este tipo de servidor VPN pode ser criado de várias maneiras e qualquer pessoa pode fazê-lo, desde que tenham um pouco de conhecimento especializado. Existem basicamente três opções para escolher um computador para a plataforma.
O servidor pode ser um computador alugado a um data center. Isto é válido tanto para servidores físicos como virtuais. A opção é especialmente atraente para as pessoas que já utilizam este tipo de computador, por exemplo, como host do seu próprio e-mail ou servidor web. Também é necessário um IP estático - ou um DynDNS se for usado um IP dinâmico – de modo a poder ligar-se em qualquer momento. Os servidores virtuais são uma opção particularmente atraente, uma vez que estas estão disponíveis a partir de 10 € por mês e o servidor VPN serviço requer muito poucos recursos. No entanto, é importante ter em conta o aumento do tráfego, pois ao utilizar uma VPN, todo o tráfego é encaminhado através dela.
Embora a utilização de uma VPN faça abrandar a velocidade de transferência, a chegada do projecto Draft N (sistema Wi-Fi, que permite teoricamente velocidades de transferência de 300 Mb / s) torna este facto desprezível. Tal aplica-se particularmente aos casos em que não são trocados grandes volumes de dados.
Uma alternativa mais independente é fornecida pelo UMTS. Esta opção permite aos utilizadores aceder à Internet em qualquer momento, independentemente da tecnologia Wi-Fi, desde que estejam numa área de recepção. A sua cobertura está no entanto disponível em grandes áreas. Tal contrasta com a disponibilidade dos hotspots, que embora numerosos, normalmente têm apenas um pequeno raio efectivo. Esta tecnologia já é relativamente barata, sobretudo quando comparada com os custos de um acesso Wi-Fi de um hotel. Uma vantagem adicional é que o custo é transparente desde o início, ou seja, não será surpreendido por encargos extra quando chega ao seu destino de férias.
Embora a rede UMTS seja baseada na segunda geração de GSM, por razões de compatibilidade, a terceira geração GSM também é suportada. Também por razões de segurança é preferível, pois os algoritmos de autenticação de utilizador e rede foram optimizados. As velocidades de transferência, que podem teoricamente atingir 14,6 Mb / s através de HSDPA e HSUPA, também são mais do que adequadas para a maioria dos fins.
O UMTS revela-se portanto uma boa alternativa ao Wi-Fi, especialmente para viajantes frequentes – as taxas base são calculadas numa base mensal, em vez de curtos períodos de tempo.
Precauções de Segurança Básicas
Além da encriptação de dados - realizada principalmente por razões de segurança - há outros factores que devem ser tidos em conta quando se configura e equipa o próprio computador. Para facilitar o intercâmbio de dados convenientemente entre computadores, as pastas e ficheiros podem ser partilhados numa rede. Esses objectos podem deste modo ser acedidos a partir de dentro da rede, seja com cabos ou wireless. Dependendo da forma como os itens partilhados estejam configurados, os utilizadores da rede podem acedê-las directamente (com permissões para ler e / ou escrever) ou solicitar autorização através de um acesso de utilizador e password. É, pois essencial que - depois de se abastecer de música e outros formatos multimédia para as suas férias, ou até de documentos internos da empresa que possa querer trabalhar - possa desactivar a função de partilha, uma vez que os dados sejam transferidos. Concerteza o utilizador não iria gostar de ter um convite aberto para que todos os seus vizinhos de rede para pesquisassem os seus ficheiros! Embora muitos hotspots tenham nas suas configurações tecnologias destinadas a proteger o computador de outras pessoas na rede, não há maneira de verificar directamente a presença desta função.
A desactivação de todas as partilhas aumenta consideravelmente o nível de segurança dos dados, mas persiste ainda o risco de um ataque hacker directo que poderiam tornar visíveis todos os dados no computador. Isto é perigoso em qualquer circunstância e mais ainda quando estão envolvidos dados sensíveis. Para aumentar o nível de protecção especificamente para este tipo de dados, deverá ter o seu backup apenas noutros dispositivos de armazenamento. Existem ainda programas gratuitos disponíveis para este efeito distribuídos com licença GPL (General Public License). Estes podem ser usados para criar ficheiros encriptados que só podem ser abertos com uma password. A encriptação usada para criar estes ficheiros é extremamente forte - mesmo um supercomputador levaria anos para abri-los através do método de força bruta. Uma condição essencial para a sua segurança é evidentemente uma password forte, constituída por mais de oito caracteres, letras maiúsculas e minúsculas, bem como números e símbolos não-alfanuméricos. Aqui, também, se aplica o mesmo princípio: este ficheiro deve ser aberto apenas quando é necessário e fechado imediatamente. Afinal, mesmo o mais seguro dos cofres é inútil se a porta está aberta. Para além do aumento da segurança das redes wireless, estas precauções também oferecem outra grande vantagem: se o computador portátil se perder, os dados sensíveis permanecerão privados.
É também muito importante que o utilizador implemente uma solução eficaz de segurança para a Internet. Para além das funcionalidades básicas (protecção contra malware), esta área também requer módulos de protecção de rede, nomeadamente uma firewall e um HIPS (Host Intrusion Prevention System). Afinal, para que serve a ligação de rede mais segura se o próprio sistema já se encontrar comprometido? O programa realiza uma análise complexa para avaliar as aplicações desconhecidas a serem executadas no PC e fornecer uma classificação da ameaça. Essa classificação serve como base para a atribuição de direitos de acesso aos programas. Se uma aplicação é classificada como suspeita, limitar-se-á o acesso a recursos importantes como o sistema operativo, rede, dados confidenciais, sistema de privilégios ou de certos dispositivos. Tal limita a possibilidade de infecção pelo código malicioso. Neste capitula também será importante referir a importância de manter o sistema e aplicações actualizados.
Mas será sempre essencial para o utilizador ter alguma dose de cepticismo em relação a redes menos familiares, adaptando a sua conduta na Internet para estes casos.
Autor : Ricardo Hernandez, Director Técnico da Kaspersky Ibéria{mosgoogle}
