Segurança informática

Da Thinkfn

Cada vez mais, conduzimos os nossos negócios via Internet. Seja usando home banking ou – no nosso tema favorito – usando corretoras o­nline.

Estas actividades geralmente envolvem por vezes somas avultadas, que representam uma boa parte do nosso património.

E, dada a evolução do crime, estas actividades estão sujeitas a quebras de segurança. É isso que faz o tema da “Segurança Informática” ser tão relevante e tão actual para os traders.

Para aceder à sua conta o­nline, regra geral possui um username, uma password, e por vezes mais um número secreto (ou retirado de um documento), e mais raro ainda, um certificado digital que tem que ser instalado nos computadores que usa para aceder.

Este artigo abordará assim os vários tipos de quebras de segurança mais comuns que hoje existem.


Tentativa e Erro (Trial & Error)

A primeira ameaça que existe à sua segurança, é a simples tentativa e erro de adivinhar o seu username e password (nos casos em que tal seja suficiente). Se o sistema permitir um número ilimitado de tentativas, por vezes desta forma torna-se possível descobrir a sua identificação e aceder à sua conta.

Contramedidas:

  • Não divulgar username e password a ninguém;
  • Não usar username (no caso de o poder especificar) fácil de adivinhar;
  • Não usar password fácil de adivinhar;
  • Mudar a password regularmente;
  • Assegurar-se junto do seu intermediário financeiro de que o sistema não aceita um número ilimitado de tentativas de adivinhar a password;


Força Bruta

Existem programas informáticos cuja única função é tentar combinações de usernames e passwords (ou só de passwords, se for conhecido o username) por forma a, após milhares ou milhões de tentativas automáticas, acabarem por determinar a password correcta. Se o sistema permitir um número ilimitado de tentativas, por vezes desta forma torna-se possível descobrir a sua identificação e aceder à sua conta.

Contramedidas:

  • Não divulgar username e password a ninguém;
  • Usar passwords longas, e com números, letras, e se possível caracteres (+ - *, etc);
  • Assegurar-se junto do seu intermediário financeiro de que o sistema não aceita um número ilimitado de tentativas de adivinhar a password;


Phishing

O Phishing consiste em enviar spam (e-mails para muitas pessoas), com um e-mail a imitar a proviniência de uma instituição financeira, e convidando-o nesse mail a fazer login no site supostamente da instituição financeira, via link providenciado, para tratar de um qualquer assunto. Ao seguir o link, irá parar numa página em tudo semelhante à da instituição financeira, mas na realidade estará a aceder a uma cópia cujo único objectivo é que faça login para obterem os seus dados de username e password.

Contramedidas:

Perante o recebimento de um mail de uma instituição financeira, mesmo que seja cliente, NUNCA use um link providenciado no mail para aceder à dita instituição. Abra sempre um browser manualmente, e introduza aí a URL correcta para aceder à instituição.


Vírus e Spyware

Os Virus e Spyware, normalmente obtidos através de fraquezas do sistema operativo, de correr anexos de e-mails, de correr programas que não conhece, recebidos via páginas da internet, etc, podem consoante o seu desenho destruir a informação presente no seu computador, ou então instalar programas maliciosos tais como:

Keyloggers (que captarão todas as teclas que premir, potenciando assim a descoberta do seu username/password);

Screenloggers (que, sempre que clickar no rato, tirarão um “printscreen” do que se passa no ecran do computador, e tornarão assim possível descobrir o seu username/password/códigos mesmo no caso em que a instituição financeira use um teclado virtual no ecran);

Formas de controlo remoto (que permitirão a um hacker ver tudo o que se passa no seu computador à medida que o utiliza, ou ainda controla-lo à distância).

Contramedidas:

  • Ter sempre o sistema operativo actualizado com os últimos patches (preferencialmente, no Windows XP; ligando as funções de actualização automática);
  • Manter a Firewall do Windows ligada (ou utilizar um produto de terceiros com a mesma função);
  • Manter definições de segurança que o avisem de applets nos sites que visita e lhe perguntem se as quer executar;
  • Possuir um Antivirus e um Antispyware actualizados e em funcionamento (no Thinkfn.com já apresentamos vários, nos artigos: Manutenção - Antivirus AVG; Manutenção - Antispyware Spybot; Manutenção - Antispyware AdAware);
  • Não executar anexos de e-mails;
  • Só usar programas de que conheça a origem e esta seja de confiança;
  • Só permitir o acesso físico ao computador de pessoas de confiança (senão poderiam instalar os keyloggers/screenloggers/remotes).


Uso de computadores partilhados

No caso de uso de computadores partilhados por outras pessoas para fazer os seus negócios, estará a correr o risco de que já existam keyloggers/screenloggers instalados nos ditos. Não existem contramedidas até porque raramente terá acesso suficiente ao computador para saber se estão instalados esses programas, ou retira-los. Nesse caso, uma utilização em ambiente partilhado (por exemplo, num cybercafé) é sempre um risco.

Deve ainda ter o cuidado de quando abandonar um Computador partilhado, nunca deixar uma sessão aberta do seu intermediário financeiro.


Uso de mesmas passwords em sistemas diferentes

O problema que existe em ter o mesmo username e password em vários sistemas diferentes (e-mail, fóruns, banco, corretora, etc), vem de que se lhe comprometerem (descobrirem) o username/password num desses sistemas – e nem todos têm o mesmo nível de segurança – podem depois usar esse username/password nos outros.

Contramedidas:

  • Não divulgar username e password a ninguém;
  • Não usar o mesmo username/password em vários sistemas diferente.


Por Fim ...

Uma boa síntese de boas práticas de segurança pode achar-se na seguinte página do MilleniumBCP: Os 10 Mandamentos da Segurança


Autor

Incognitus, em 23/3/2005

Comentários

Existe no fórum um tópico destinado a comentar este artigo.

Disclaimer

Este comentário é um artigo de opinião e nunca uma recomendação de compra ou venda. Alerta-se ainda que a compra ou venda é da responsabilidade do investidor bem como o lucro ou perda daí existente. O Autor pode ter, e provavelmente tem, posições nos títulos referidos neste artigo. Em caso de dúvidas, deverá o investidor procurar um intermediário financeiro, a Euronext, ou a CMVM.

Obtida de "https://www.thinkfnwiki.com/wiki/index.php?title=Segurança_informática&oldid=10434"