Notebook Press

Primeiro de junho, primeiro pacotão do mês aqui na coluna Segurança Digital do G1. Desta vez, a coluna responde uma pergunta sobre gerenciamento de senhas, uma sobre vírus em pen drives (e autorun) e outra sobre o que é Windows Defender. Ele seria um antivírus? Confira!

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Gerenciamento de senhas
Após a invasão de hackers nos servidores do Lastpass, é seguro ter uma conta? Poderia indicar outro serviço de gerenciador de senhas?
Reginaldo

De modo geral, provavelmente não é uma boa ideia armazenar suas senhas em um serviço de internet. O caso de invasão da LastPass é apenas um lembrete do fato de que serviços que agregam uma grande quantidade de informação valiosa (inclua aí senhas, claro) mais cedo ou mais tarde acabam na mira dos hackers, e qualquer mínima brecha irá resultar em um ataque bem sucedido.

Mesmo assim, o LastPass acredita que nenhuma senha tenha sido comprometida durante o ataque que a empresa sofreu. Na verdade, se alguma senha fosse comprometida, o serviço seria de extrema má qualidade. Ou seja, provavelmente não faz diferença você ter uma conta lá ou agora. Mesmo assim, há certas informações que não vale a pena colocar na internet porque o risco, por menor que seja, existe. E o preço é caro.

Quantas coisas podem dar errado para que suas senhas armazenadas em um serviço de internet acabam vazando?

A coluna já recomendou anteriormente anotar senhas em papel e até coloca-las na carteira e, claro, ter todo o cuidado para não perder. Se você faz questão de usar alguma solução mais “tecnológica” para o armazenamento de senhas, existem softwares que você pode instalar localmente, como o KeePass, que é gratuito e trabalha com um alto padrão de segurança.

No entanto, se você for infectado por um vírus de computador que tem como objetivo roubar suas senhas, pouco importa se você armazena tudo em um arquivo .txt ou em um software gerenciador – é bem provável que o código malicioso consiga capturar todas as senhas conforme você as utiliza.

>>> Autorun
Como proteger o computador e dispositivos USB, como o pen drive, de autorun?
Renan Raphael

O autorun é o mecanismo mais usado por vírus que se espalham por pen drives para conseguir se executar automaticamente no mesmo instante em que o pen drive é conectado em um computador. Mas se proteger isso agora está fácil: para Windows XP e Vista, existe uma atualização, já no Windows Update, que desativa o autorun em pen drives. No Windows 7, o comportamento normal do sistema é aceitar o autorun somente em CDs e DVDs – não é necessário instalar nada, nem configurar nada.

Então, Renan, se você tem seguido os conselhos da coluna e mantém o Windows atualizado,, com as atualizações automáticas habilitadas no Painel de Controle, você já está protegido contra os vírus que usam o autorun em pen drives.

Você pode querer proteger seu pen drive em si, e aí existem algumas “técnicas” e “vacinas”, mas considere o seguinte: autorun não é a única forma de danificar um pen drive. Se você se preocupa com seus dados, não tem cópia de segurança do que está no pen drive e não confia no computador em que ele será conectado, a única solução garantida é não espetar o pen drive.

Existem alguns poucos pen drives com uma configuração externa para impedir gravações, mas como esse mecanismo é complexo nos dispositivos que trabalham com memória flash, a grande maioria dos pen drives não inclui essa opção.

Logo, a dica é manter o seu computador protegido, ter cópia de segurança de tudo o que está nos pen drives e daí não se preocupar mais com o autorun. Se você acha que o pen drive pode estar infectado, realize uma formatação rápida.

>>> Windows Defender
O que é e como funciona o Windows Defender? Ele é um antivírus? Precisamos colocar outro?
Oscar de Castro

O Windows Defender não é um antivírus. Ele é um antispyware. Antes de estar incluído no Windows, ele era um download separado chamado de Microsoft Anti-Spyware e, ainda antes disso, era vendido por uma empresa chamada Giant, que a Microsoft adquiriu para sua tecnologia antispyware.

A função desses programas é detectar aplicativos potencialmente indesejados, que você tenha instalado sem querer, ou que estão “vigiando” seu computador de alguma forma. Há alguns anos, especialmente entre 2005 e 2008, muitas das piores ameaças de códigos maliciosos não eram “vírus”, mas sim programas desenvolvidos por empresas legalmente registradas. Anti-spywares removiam esse tipo de software, que os antivírus ignoravam por medo de complicações legais com essas empresas.

Aí aconteceram três coisas: a Microsoft incluiu um antispyware no Windows, o governo norte-americano processou (e fechou) a maioria das empresas envolvidas nessas atividades, e as funções dos antispywares foram incorporadas nos antivírus. Logo, um antispyware “por si mesmo” hoje tem poucas razões para existir.

Mas isso também significa que o Windows Defender não é um antivírus e muito menos substitui um software antivírus – ele faz menos do que o antivírus comum de hoje. Ele foi uma resposta da Microsoft a um problema sério da época. Hoje a Microsoft oferece um antivírus gratuito, o Security Essentials, o que não existia inclusive quando o Windows Defender foi incorporado ao Windows no Windows Vista.

A coluna Segurança Digital vai ficando por aqui, mas toda quarta-feira tem mais respostas a questões enviadas por leitores. Se você tem alguma dúvida, não se esqueça de deixá-la na seção de comentários, acessível pelo balãozinho logo abaixo. Até a próxima!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

O primeiro vírus feito por brasileiros e especificamente para Windows em versões 64 bits foi encontrado pela fabricante russa de antivírus Kaspersky Labs. A praga é um cavalo de troia (não se espalha sozinha) capaz de roubar senhas de banco e leva em conta funções específicas da versão 64 bits do Windows para conseguir remover softwares de segurança instalados por bancos.

O vírus precisa de permissão administrativa para executar. Isso significa que usuários com o Controle de Contas de Usuário (UAC) ou que estejam usando o sistema com um usuário limitado não serão infectados por completo e não terão os softwares de segurança removidos.

O pesquisador antivírus Fabio Assolini, da Kaspersky, diz que a praga adiciona configurações à inicialização do Windows para permitir a instalação de drivers não autorizados pela Microsoft – uma das mudanças específicas do Windows 64 bits foi a de exigir assinaturas (autorização) da Microsoft para todos os drivers instalados no Windows em 64 bits.

Um driver é um software especial que roda com mais privilégios que um programa comum, normalmente usado para controlar hardware de sistema, mas ele é também usado por vírus para remover softwares de segurança ou se camuflar no sistema.

Os vírus brasileiros que tentavam instalar drivers não eram compatíveis com o Windows Vista ou 7 em 64 bits, por exemplo.

Segundo a Kaspersky, o vírus ainda adiciona uma lista de autoridades certificadoras falsas no sistema e redireciona sites de banco. Com isso, os sites falsos poderão exibir “certificados de segurança” (o famoso “cadeado” no navegador), o que normalmente não é possível mesmo em sites redirecionados. É por meio desses redirecionamentos que ele rouba as senhas de banco – uma técnica comum no Brasil.

A equipe responsável pelo LastPass – popular software gerenciador de senhas – anunciou na última quarta-feira (4/05) que o programa vem enfrentando um “anormal tráfego de rede”, o que a faz pensar que um ataque cracker pode estar por trás disso. Por via das dúvidas, muitos usuários estão sendo solicitados a alterar a chave mestra que defende seus códigos.

O LastPass é uma extensão compatível com praticamente todos os browsers do mercado – roda tanto em um Internet Explorer instalado no Windows, como em um Firefox para Linux ou no Safari do iPhone. Ela toma para si o trabalho do usuário de elaborar senhas e inseri-las nos sites, e ainda as sincroniza com os sistemas em que estiver instalado. Para isso, o internauta precisa criar um único segredo, que lhe dará acesso às informações armazenadas pelo software.

Em comunicado, a companhia esclarece que identificou o problema em um de seus servidores, sem, no entanto, encontrar sua causa. Notou, porém, que as informações estavam sendo enviadas para um banco de dados desconhecido. “Por não conseguirmos explicar a falha, seremos paranóicos e imaginaremos o pior: os arquivos armazenados foram acessados”.

Ainda não se sabe ao certo tamanho do rombo, ou seja, quanto foi copiado pelos invasores – por exemplo, se o suposto ataque foi suficiente para roubar os e-mails e senhas da dos usuários. A empresa destaca, entretanto, que a quantidade de dados perdida definitivamente não foi grande, e que, portanto, a maioria dos clientes não deverá ser afetada – embora, alguns, de fato, precisem se precaver.

A esses, a LastPass enviou uma notificação para que alterem a chave mestra. Quando a mudança é feita, a empresa checa se ela foi solicitada de um IP conhecido, de modo a verificar a identidade dos usuários e evitar que mais problemas apareçam. A companhia anunciou também que está aproveitando a oportunidade para aprimorar a segurança de sua infraestrutura, implantando uma nova camada de proteção que estavam desenvolvendo.

Devido ao excesso de tráfego, já que muitos usuários estão alterando seus segredos, a empresa informou nesta quinta-feira (5/05) que a sincronização de senhas foi desativada. Também pediu aos clientes que, caso algum imprevisto apareça, enviem um e-mail para o seguinte endereço: support@lastpass.com.

A senha de sua conta de e-mail é a última linha de defesa que você tem em se tratando de privacidade; se um usuário inescrupuloso desvendá-la, ele poderá alterar seus códigos para redes sociais, portais de comércio eletrônico ou até do internet banking, a partir da opção “esqueci minha senha”.

É tentador utilizar o mesmo segredo para todas suas contas, mas, dessa forma, a vulnerabilidade online aumenta consideravelmente. Quando ela é descoberta, tudo o que você tem na Web fica aberto ao invasor. Dado os recentes acontecimentos, como a invasão da rede PSN, esta talvez seja a hora de aprimorar sua segurança, garantindo que cada uma de suas senhas sejam únicas e eficazes.

Existem alguns bons programas para organizar o possível caos, como o KeePass, que criptografa todos os seus códigos e os armazena em uma base de dados a qual só você tem acesso – a partir de uma chave-mestra. Outra opção é o LastPass, que funciona como uma extensão para o browser – roda nos mais populares – e ainda sincroniza seus códigos entre os vários computadores em que estiver instalado. O problema, lógico, é que a nuvem pode não ser tão confiável quanto um pen drive – devidamente protegido – que sempre está contigo.

Usar um gerenciador de senhas é uma ótima forma de melhorar sua segurança online, mas não é um modelo perfeito. A muralha praticamente intransponível é um código que você nunca guarda em um papel, em um HD ou na nuvem, uma sequência de letras, números e símbolos que mesmo você não sabe ao certo até ter de escrevê-la. Isso, a princípio, pode parecer confuso, fora de alcance, mas, com alguns truques mnemônicos, tudo fica mais fácil.

Uma senha acima de todas
Na verdade, é muito fácil criar uma senha forte; basta seguir certas regras. Antes de mais nada, precisamos de uma base: uma mistura de letras maiúsculas e minúsculas, números e até sinais gráficos para complicar um poucos as coisas. Escolha uma frase fácil de lembrar e sinta-se livre para ser tão criativo quanto consiga. Pelo bem da simplicidade – e da didática – irei com um dos meus pratos favoritos: chicken adobo (frango adobo).

Certifique-se de que sua “palavra código” (passphrase) tenha ao menos oito caracteres e evite tópicos obviamente memoráveis como nomes próprios, datas de aniversários e cidades natal. Também é interessante evitar o uso de uma única palavra e a troca de alguns dos caracteres por símbolos – as ferramentas dos hackers são sofisticadas o suficiente para superar esse truque. Prefira uma frase secreta – várias palavras colocadas juntas – em vez de uma senha; isso torna mais difícil o trabalho dos hackers para descobrir seu código ao tentar todas as palavras do dicionário.

Agora que escolheu uma palavra código, você precisa colocar essa frase em uma única corrente (como chickenadobo), e então coloque algumas letras maiúsculas fáceis de lembrar (ChickenAdobo). Depois, apimente mais a base do seu código com alguns caracteres aleatórios para manter as coisas interessantes (Ch!cken@dob0).

Depois de definir seu código base, é preciso memorizá-lo e usá-lo como uma chave mestra que vai destravar sua conta em qualquer site desde que você se mantenha firme a algumas regras simples. Para criar a senha mais forte possível, vamos inventar um padrão de nomeação fácil de guardar para gerar uma senha única para todos os seus cadastros.

Por exemplo, vamos dizer que decidi usar sempre a primeira e quarta letra do nome de domínio no meio da minha passphrase, deixando a primeira maiúscula e a última minúscula. Isso significa que minha senha única no Facebbok seria “Ch!ckenFe@dob0”, enquanto minha conta no Hotmail exigiria a senha “Ch!ckenHo@dob0”.

Vê o padrão? Invente algo parecido e terá uma senha única alfanumérica para todo site. Uma que é fácil de lembrar, mas quase impossível para os hackers descobrirem. Nenhuma senha é perfeita, mas ter sua própria frase única e alguns truques mnemônicos já é um grande passo para manter sua privacidade online intacta.

Pesquisadores dos institutos Max-Planck e Axioma Research desenvolveram um novo método para criar senhas que são mais difíceis de serem descobertas, mas fáceis de serem lembradas. 

O projeto é uma combinação de "dinâmicas não lineares" e caos para criar p-CAPTCHAs encriptadas – sequências de caracteres referentes à senha. Pode parecer complicado, mas você só teria de lembrar parte da senha: o aplicativo Java completaria o resto automaticamente.

Suponha que você tenha um software que precise ser protegido e encriptado. Utilizando o aplicativo Java, a chave de codificação seria quebrada em duas partes: uma fácil e uma complexa. Você só teria que se lembrar da parte fácil porque o aplicativo Java criaria uma sequência CAPTCHA para a parte difícil. 

A partir daí, o p-CAPTCHA  é encriptado utilizando a parte fácil da senha. Para acessar o software, o usuário entra com a senha simples e o p-CAPTCHA é exibido na tela. Só é preciso interpretar as letras e digitá-las. Isso faria toda a decodificação do software.

Segundo o documento "The weak password problem: chaos, crititally, and encrypted p-CAPTCHA's", o segundo componente da senha é "transformado em uma imagem CAPTCHA e protegido utilizando uma combinação de um sistema dinâmico bi-dimensional próximo a uma transição de fases, de forma que ataques tradicionais do tipo força bruta se tornam ineficazes". 

Ao criar a parte "fácil" da senha, você ainda pode deixá-la tão complexa quanto antes. Mas quando o hacker chegar ao p-CAPTCHA gerado pelo aplicativo Java, ele precisará de uma interpretação humana. Ao criar a senha, o p-CAPTCHA é gerado utilizando "evolução caótica", processo que gera uma sequência baseada em uma matemática tão complicada que até computadores têm dificuldade em interpretar.

Os pesquisadores afirmam que essa tecnologia poderá ser implementada em uma série de sistemas de dispositivos ou computadores que já existem hoje, e acreditam que será um passo significante para a segurança de dados.