A Internet e a Web
==================
Funcionamento
-------------
Os meios de comunicação digital estão convergindo rapidamente para a internet.
Assim, o entendimento da segurança da informação na internet pode ser
aproveitado para muitos casos de uso.
Nesta aula falaremos sobre o funcionamento básico da internet, que pode ser
aplicado tanto ao contexto do acesso via computadores quanto smartphones.
A Internet é uma **rede de dados digital** baseada em diversos **protocolos**.
Por **rede** entendemos computadores que podem trocar mensagens entre si.
Já a **Web** pode ser definida como a parte da internet que interage com os
usuários.
Apesar desta aula ser mais focada no navegador, a maior parte do que é dito
aqui vale para outros aplicativos, tanto em computadores quanto em smartphones.
O uso seguro da web depende muitos fatores, por exemplo:
1. Problemas de segurança nos dispositivos de acesso. No caso deste curso,
estamos falando de computadores e smartphones.
2. Fatores clássicos da segurança da informação: autenticidade, disponibilidade
integridade e confidencialidade de cada interação realizada na internet.
4. Identificação e monitoramento de usuários.
5. Privacidade e uso de dados pessoais.
Ataques
-------
Vamos nos concentrar nos principais ataques realizados na web:
1. Malware. É importante assumir que qualquer informação que recebemos
da web pode conter algum código malicioso.
Esta é a forma mais acessível para invadir o sistema de alguém, pois não
depende de ter acesso privilegiado a nenhum sistema. Qualquer pessoa pode
fazer, não apenas empresas e governos mal intencionados.
Assim, tome cuidado ao abrir anexos e sites pouco confiáveis. Na dúvida,
use alguma defesa apresentada na aula sobre computadores, como por exemplo
abrir anexos usando um sistema virtualizado.
2. Vulnerabilidades no navegador também são portas de entrada possíveis para
malware. A exploração de vulnerabilidades torna possível a infecção sem
qualquer participação do usuário.
3. Sítios falsos: será que você está acessando o site correto ou é um clone
tentando te convencer a fornecer informações pessoais ou te fornecendo
informações falsas?
4. As redes sociais são também fontes de ataques à sua segurança.
O modelo de negócios da maioria dessas plataformas é baseado na oferta
do serviço em troca das sua interação. Todas as informações que você
fornece às redes sociais podem ser revendidas ou usadas para qualquer
fim estratégico, como propagandas, experimentos psicológicos ou
controle social.
5. Dados pessoais e vazamentos. Pense que a publicação de um conteúdo é um
caminho sem volta: podem até esquecer do que você disse, mas você não tem
garantias que um conteúdo sumirá com o tempo e nem que você conseguirá
apagar todas as cópias existentes.
Considere que toda a mensagem, áudio, foto ou vídeo que você enviar
para qualquer pessoa pode ser vazada. Esse vazamento pode ser restrito
a um círculo de pessoas ou pode ser irrestrito.
O vazamento pode ser involuntário ou não: pode ter a participação
de quem recebeu sua mensagem ou pode ser feito por alguém que invadiu
o sistema da pessoa.
Pode ser alguém que invadiu um sistema onde estão essas informações.
O vazamento nem sempre é focado em você: pode ser que toda uma plataforma de
conteúdo tenha os dados vazados de todos os seus usuários e sua informação
estar no meio.
Quais são as informações coletadas por cada serviço?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Virtualmente, qualquer coisa que enviamos para eles, sabendo ou não.
É fácil nos conscientizarmos de quais informações enviamos voluntariamente,
porém é mais difícil perceber informações adicionais, ou metadados, que
são enviados automaticamente pelos softwares que interagem com esses
serviços.
Navegadores web enviam, por padrão, uma série de informações que
podem ser usadas para nos identificar. Por exemplo:
- Informações específicas do navegador e o do sistema operacional,
como versões, plugins suportados e assim por diante.
- Qual foi a página anterior visitada antes da página atual.
- Informações persistentes de interação com sites conhecidas como **cookies**,
que podem ser criadas por qualquer site e ficam armazenadas no seu computador.
Quais são as informações que nos identificam e rastreiam nossos hábitos?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rastreadores embarcados nos sites, como coletores de estatísticas e botões do
tipo "curtir" conseguem estimar se estamos autenticados na respectiva rede
social, qual o nosso login, etc.
Uma única página da web pode vir embutida com rastreadores de diversos
serviços.
Este é o grande resumo que vale para redes sociais, mensageria, dados de
formulário, informações de buscas, etc: Basicamente **TUDO** o que você envia
na internet pode ser guardado indefinidamente, integrado a bancos de dados ou
vazado.
E bastam poucas dessas informações para que seja possível nos identificar
unicamente.
Defesas
-------
Como podemos nos defender de uma situação em que qualquer interação pode ser
registrada e utilizada indefinidamente? Existe uma saída para a segurança da
informação ou este é o fim da privacidade?
Estas são boas perguntas. A história dirá. Por hora, temos algumas medidas
de segurança possíveis para melhorar um pouco nossa situação.
1. Garantir a segurança da informação básica: a comunicação criptografada
usando **HTTPS** é a forma básica de se transferir informações na web.
O uso do HTTPS nos dá mais garantias de que estamos acessando o sítio
legítimo e não uma versão falsa. Também garante que a comunicação não
poderá ser interpretada ou adulterada por interceptadores.
O uso do HTTPS depende da oferta deste pelo site ou serviço que você
queira acessar. Um sítio que use HTTPS terá o seu endereço no navegador
começando por **https://**, como por exemplo **https://wikipedia.org**.
O fato do HTTPS estar disponível num site não implica necessariamente que a
conexão é segura. O HTTPS possui vários problemas, como a dependência da
certificação criptográfica feita por terceiros que podem ser invadidos ou
serem compelidos a emitir certificações falsas.
Ainda, o HTTPS pode estar mal implementado nos sites.
Se você quiser avaliar a qualidade de uma conexão HTTPS, você
pode testá-la usando um aplicativo específico ou então um serviço
como o SSL Labs.
Se ele for bem implementado, pode fornecer propriedades adicionais
como sigilo futuro e usar algoritmos criptográficos bem fortes.
2. Usar logins e serviços somente quando necessário: você precisa estar
autenticado(a) o tempo todo nas redes sociais? Quanto menos você usá-las,
menos irão te rastrear.
3. Limitar o que o seu navegador pode fazer.
Você pode limpar os arquivos locais armazenados pelo seu navegador,
como cookies e histórico de navegação.
Isso impede que eles sejam reutilizados, o que em si já é uma medida que
dificulta a identificação de usuário.
Isso também impede que esse tipo de informação seja obtida caso seu
dispositivo seja invadido.
Você também pode configurar seu navegador para nunca guardar esse tipo
de informações ou para apagá-las toda vez que você for desligar o
navegador.
Uma medida adicional pode ser limitar a capacidade do seu navegador
de processar sites, como por exemplo desligar o processamento do Javascript.
Isso pode quebrar o funcionamento de alguns sites mas, por outro lado,
pode impedir que sites maliciosos possem executar qualquer tipo de
instrução no navegador.
4. Você pode usar serviços que possuam uma melhor política de privacidade.
Por exemplo, você pode usar um mecanismo de busca alternativo como
o **Duckduckgo**, que respeita muito mais a sua privacidade do que
outros mais conhecidos.
5. Você pode utilizar um navegador especial feito para proteger a
sua privacidade.
Recomendamos utilizar o `Tor Browser
`_ no seu computador e no seu
smartphone Android, ou o `Onionbrowser `_ no
iOS.
Ambos os softwares utilizam a rede **Tor**, que é uma plataforma de
navegação mais anônima. Ela utiliza criptografia e uma grande rede de
computadores distribuídos pela internet que dificulta muito a localização
dos usuários que estão navegando.
O Tor Browser é um navegador que usa a rede **Tor** em todas as suas
conexões. Isso significa que ao navegar usando o Tor Browser você já
estará, por padrão, dificultando sua localização na internet.
Mas **ATENÇÃO**: certifique-se de sempre usar conexão HTTPS ao acessar
qualquer site usando o Tor Browser, do contrário você estará muito
mais suscetível a ataques de interceptação e de site falso.
O Tor Browser também possui uma série de modificações de segurança
para que a sua navegação fique mais segura.
Já o `Orbot `_
é uma aplicação que permite que outros aplicativos no smartphone utilizem
a rede Tor.
Resumo
------
Navegar na internet pode parecer algo inofensivo, só que muitas
vulnerabilidades em navegadores estão sendo exploradas para inúmeros
fins, dentre eles a obtenção de dados do usuário disponíveis pelo
navegador. Fora isso, sítios maliciosos podem levar o internauta a
revelar voluntariamente seus dados. Contra essas e outras
vulnerabilidades, tome as seguintes providências:
- Limpe sempre seu histórico de navegação, os arquivos temporários
(cache) e os cookies
- Não salve no navegador suas senhas de formulários
- Saiba suspeitar quando um sítio é falso, ou seja, quando ele aparenta
ser o sítio de uma empresa ou organização (em geral bancos) mas na
verdade é apenas pretende obter suas senhas ou dados pessoais
- Use, sempre que disponível, conexão segura (https ao invés de http)
- Utilize alguma ferramenta de navegação anônima, como o
`Tor `_
Referências
-----------
* `PrivacyTests.org `_: comparativo entre navegadores web no quesito privacidade.
* `Panopticlick `_.
* `Browserprint `_.
* `BrowserLeaks `_.
* `Orbot para dispositivos Android | security in-a-box `_.
* `Orfox: A Tor Browser for Android – Guardian Project `_.