SEGURANÇA: Conheça algumas dicas falsas e meias-verdades sobre segurança

e você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
 
Você quer proteger seus dados e, com uma pesquisa, percebe que não é difícil encontrar dicas de segurança que circulam na internet para proteger seus dados. O problema, infelizmente, é que algumas dicas não funcionam direito ou são baseadas em meias-verdades, o que não impede que elas continuem sendo repetidas fora do seu contexto ou desacompanhadas de uma explicação adequada.
Hoje a coluna Segurança Digital comenta alguma dessas dicas, e explica o que é mentira e o que é uma meia-verdade em alguns dos conselhos mais “repetidos” da internet.

Dicas de senhas ainda são confusas. (Foto: Divulgação)

1) “Digite uma senha errada no site do banco para ver se está no site verdadeiro”
Alguns guias de segurança sugerem que o internauta, ao acessar o banco pela internet, tente antes digitar uma senha incorreta no site. De acordo com a dica, o erro será notado se o site for verdadeiro, mas não se o site for falso.
Isso não é bem verdade.
Muitos sites falsos são capazes de redirecionar os dados digitados ao site verdadeiro. Se o site verdadeiro aceita-los, o site falso os aceita também. Se o site verdadeiro rejeitá-los, o site falso os rejeitará também.
Essa é uma técnica bastante simples e um kit “universal” para realizar esse tipo de ataque está disponível desde 2007. Apesar disso, muita gente ainda repete essa mesma dica, como se ela fosse atual e garantida.
Para evitar sites falsos, nunca siga links em e-mails. Digite o nome do site no navegador ou, melhor ainda, deixe-o nos seus favoritos (há sites maliciosos que se aproveitam de erros de digitação). Verifique se o “cadeado de segurança” está aparecendo e se o endereço do site está mesmo correto. Se essas condições forem verdadeiras, você não está em um site falso.
2) “Troque suas senhas frequentemente e não anote-as”
Trocar as senhas frequentemente só tem um propósito: impedir que alguém que já está com a sua senha continue usando-a. Na maioria dos casos, trocar a senha frequentemente não resolve problema algum. A verdadeira dica é usar uma senha bastante forte e única (ou seja, não reutilizá-la). Isso é o mais importante.
Muitas vezes, pensando que é bom trocar de senha frequentemente, um usuário escolhe senhas parecidas com as anteriores ou, pior, mais fracas. Isso não resolve nada e deixa você menos seguro.
Não anotar as senhas é também uma má ideia – simplesmente porque são muitas senhas e, se você não anotá-las, será obrigado (pela memória) a repeti-las, escolher senhas fracas ou esquecê-las – e tudo isso é muito ruim. Idealmente, seria melhor não anotá-las. Mas, se você tem qualquer dificuldade de memória para lembrar senhas, anote, mas anote em um local seguro. Escrever a senha em um papel adesivo e colar no monitor ou no teclado – nem pensar!

Teclado virtual do Windows permite que se clique nas letras em vez de digitar. (Foto: Reprodução)

3) “Use o teclado virtual do Windows para digitar senhas de forma mais segura” / “copie e cole suas senhas”
Isso não funciona. Muitos softwares que capturam senhas são espertos o suficiente para detectar eventos de digitação do teclado virtual e também copiar os dados da área de transferência (clipboard, onde fica o que você copia com “CTRL-C”) quando eles forem copiados para um campo de senhas. Outros softwares capturam cliques do mouse (necessários para usar o teclado virtual).
Essa dica só vai proteger a senha de um registrador de digitação por hardware, ou seja, que pega diretamente o que foi digitado no teclado por meio de um aparelho conectado ou por alteração física do teclado. Esse tipo de coisa é muito raro e bastante ruim. Você pode até digitar a senha fora de ordem para confundi-lo. Os softwares de captura são bem mais espertos.
4) “Atualizações do Windows deixam o PC lento”
Atualizações do Windows deixam o PC mais seguro, não lento. A coluna tem conhecimento de que essa “dica” já foi dita até em “cursos de hardware” frequentados por quem busca ser técnico de manutenção.
5) “Seu computador não pode ter uma porta aberta”‘
Para que um computador possa se conectar a outro pela internet, os dois precisam definir o que se chama de uma porta de comunicação e transmitir os dados por ela. Ou seja, é impossível navegar na internet sem que alguma porta esteja trocando informações. A porta é nada menos que um número qualquer que identifica uma conexão. Por exemplo, quando você visita um site, as portas usadas são a 80 ou a 443 no lado do servidor (do site) e uma porta aleatória no seu computador.
O que normalmente se refere a uma “porta aberta” em guias de segurança na web é uma porta em estado de escuta (“listening”). Uma porta em estado de escuta é aquela que está diretamente ligada a algum software em execução no computador, “escutando” o que passa por ali para receber. No entanto, isso ainda não é um problema: para que a porta em escuta viabilize uma invasão, o software que a abriu precisa ter uma vulnerabilidade.
Muitos softwares funcionam melhor se uma porta puder ser colocada em estado de escuta, como no caso dos softwares P2P. Alguns outros programas que necessitam de conexão direta, como alguns games on-line, também podem funcionar melhor com uma porta “aberta” e às vezes só funcionam assim, quando são softwares mais simples.
O que não se pode ter é um software vulnerável com uma porta aberta para a internet. Detalhe: basta deixar o firewall do Windows ativo que ele automaticamente “fecha” todas as portas. E o Windows tem essa configuração de fábrica desde o Service Pack 2 do Windows XP, lançado em 2004.
6) “Use dois antivírus”
Usar dois antivírus não é como usar dois cadeados. Na verdade, é sim, só que os dois cadeados podem ser abertos com a mesma chave. Trata-se da mesma tecnologia de proteção e, portanto, eles não acrescentam segurança na mesma proporção que causam o dobro de problemas por alarmes falsos e incompatibilidades.
Se você precisa de uma segunda opinião de um antivírus, realize eventualmente análises on-line ou use o Virus Total.

É preciso ter cuidado com o que aparece na barra de status. (Foto: Reprodução)

7) “Passe o mouse por cima dos links”
Muitos recomendam que usuários “passem o mouse por cima dos links” e verifiquem na barra inferior do software qual será o destino final do link.
Sim, o destino do link aparece. Mas não se pode confiar nele.
Os motivos são os seguintes:

  1. muitos links não terminam em “.exe” ou nenhuma outra extensão claramente maliciosa;
  2. Os links podem usar domínios (endereços) muito parecidos com os reais ou até envolver a invasão ao site original (o que já aconteceu);
  3. Em páginas web, é possível mascarar o destino do link;
  4. Mesmo um link para um site legítimo pode ter um redirecionamento malicioso.

Por exemplo, muitos e-mails maliciosos já tiraram proveito de redirecionamentos abertos no Google, em sites de notícia e tantos outros problemas do gênero. Tentar observar o link de uma mensagem maliciosa é como tentar identificar que a água do oceano é salgada observando apenas uma gota. É mais fácil olhar o conjunto – uma mensagem falsa normalmente faz alguma ameaça improvável, fala de algum amor inexistente ou alguma oferta simplesmente boa demais.
E, na dúvida, é mais fácil visitar o site da empresa ou da instituição e procurar informações lá.
Observar um link é uma maneira rápida de avaliar uma mensagem, mas só inicialmente e só para quem está acostumado. É muito fácil cair em um golpe mais sofisticado seguindo essa dica. Na dúvida, é melhor avaliar a mensagem e não o link.
Tem mais alguma dica que você já viu pela internet e tem dúvidas se funciona ou não? Deixe nos comentários da coluna. Até a próxima!