Seis mitos sobre segurança no computador e a verdade sobre eles

Uma rápida olhada para os dez anos de vida do Windows XP e sua longa história de bugs e correções nos faz pensar imediatamente em duas questões: Como pode a indústria de software falhar tanto ao entregar aplicações seguras aos usuários? Será que ainda está longe o dia em que, para se usar um computador, não será mais preciso ser um expert em segurança?

Ao que parece, a mensagem clássica da indústria de segurança é sempre algo parecido como “você deveria saber que não poderia clicar neste link”, ou “como pôde acreditar que aquela mensagem realmente veio de sua mãe?”.

Para alguns usuários de computador é incrível acreditar que ainda existam tantos usuários vítimas dos mesmos golpes (ainda que ligeiramente diferentes). Mas o que é que os desenvolvedores de sistemas de segurança têm feito para ajudar realmente estas pessoas?

Veja abaixo seis situações corriqueiras, a percepção comum que os usuários têm a respeito delas, e como os especialistas em segurança lidam com o assunto.

Se um e-mail parece autêntico, então ele é seguro

Ao que parece, os desenvolvedores de sistemas de segurança acreditam mesmo que todos os usuários são tão inteligentes quanto eles. Afinal, mensagens spam, ataques phishing e todo tipo de malware têm existido há anos. Se os especialistas não se surpreendem quando um ataque se faz passar por uma mensagem eletrônica verdadeira, por que, então, os usuários não pensam da mesma maneira?

Para os técnicos, a desconfiança é parte de sua natureza, mas não se pode esperar que tal característica seja inerente ao usuário comum. Em vez disso, os especialistas ainda ficam surpresos e até mesmo consternados quando veem internautas sendo vítimas desse tipo de armadilha.

Mas não pode simplesmente culpar alguém que tenha sido vítima de ataque phishing só porque resolveu acreditar em uma mensagem de cancelamento de uma compra feita em um site de e-commerce, com grandes chances de que uma compra de fato tenha ocorrido em tal site.

“Esta mensagem é de alguém que conheço, portanto é segura”

Quem lida diariamente com questões relativas à segurança eletrônica sabe que não se pode descuidar de spammers e de outros tipos de ataques que encontram maneiras de burlar o campo “remetente” em uma mensagem eletrônica.

Existem diversas formas de fazer isso, mas sua mãe ou mesmo a secretária da empresa pode ter conhecimento suficiente para concluir que um e-mail que fale de uma super liquidação, por exemplo, não tenha mesmo sido enviado por alguém conhecido.

Tudo o que os especialistas dizem é que o e-mail, como uma carta comum, pode trazer escrito no envelope o nome de um remetente que conhecemos sem que esta carta tenha realmente sido enviada por tal pessoa.

“Se um amigo publica um link do orkut ou Twitter, então ele é seguro”

As redes sociais cresceram muito em termos de popularidade e as comunidades – se é que podemos chamá-las assim – de criminosos virtuais já embarcaram nessa onda também. Mesmo porque na maioria das vezes são os mesmos que, antes, enviavam emails de spam ou phishing scams. Agora, dirigem seus esforços para onde as vítimas potenciais estão: as redes sociais.

Por meio de aplicações web tais como Cross-site Scripting (XSS), mensagens podem ser publicadas em redes sociais de forma que pareçam ter sido escritas por pessoas que conhecemos. Elas parecem legítimas, quando na realidade não são.

“Estou seguro se apenas ler um e-mail, sem clicar em nada ou abrir anexos”

Bons tempos aqueles em que, para ser infectado, o usuário precisava clicar em um arquivo executável ou abrir voluntariamente um anexo que chegasse pelo e-mail para que a praga, qualquer que fosse, começasse a agir.

Mas hoje existem diversos modos pelos quais um criminoso virtual utiliza um e-mail para atingir seus objetivos sem que o destinatário da mensagem precise clicar em um link qualquer.

Isso pode ser feito, por exemplo, por meio de HTML IMG ou IFRAME tags, em combinação com técnicas de XSS a partir de um site vulnerável. Muitas destas técnicas podem ser tão perigosas quanto um arquivo executável que venha como anexo no e-mail.

O problema é que a maior parte dos usuários sequer sabe disso e pouco se ouve a indústria de segurança fazer qualquer coisa para evitar que isso ocorra.

“Clicar em uma URL mas não fazer qualquer coisa no site que abrir me deixará seguro”

Indo um pouco mais além, qual o risco que se corre em visitar um determinado endereço na web se o internauta não fizer qualquer coisa além disso ao chegar no site em questão?

Converse com qualquer especialista em segurança e você vai obter uma relação de motivos para que isso não seja feito. Só que não se pode esperar que seu filho ou sua tia tenham noção disso, e que se lembrem dessas ameaças enquanto estão passeando pela internet. E muito menos culpá-los, depois, caso sejam vítimas de um ataque qualquer.

“O browser exibe o cadeado, então o site em questão é seguro”

Há anos a indústria de segurança vem dizendo para as empresas utilizarem SSL ao construírem sua páginas na web e, agora, o que ouvimos é dizerem que a criptografia oferecida SSL, por si só, não é necessariamente segura.

Note que sob a perspectiva dos usuários, nada do que estejam fazendo está errado. Os especialistas em segurança devem reconhecer também que mesmo os internautas mais bem intencionados, vez por outra farão algo ou tomarão uma decisão a respeito de algo que os irá colocar em risco. E farão isso não porque são tolos, mas pelo fato de os especialistas não compartilharem adequadamente do conhecimento que têm a respeito das ameaças à segurança. E deveriam fazer isso, sempre!

É provável que esse seja o ponto no qual a indústria de segurança mais falha. Por anos, ela tem tentado evitar que os ataques ocorram e faz isso advertindo os usuários a não fazerem coisas tolas como clicar em links. E, quando eles fazem isso, os especialistas dizem que a culpa por terem sido vítimas é do próprio usuário do PC, mesmo quando as orientações contrárias tenham sido publicadas em artigos especializados que falam a respeito de malware, ataques phishing e XSS. E tenham sido ouvidas por um número restrito de usuários.

Ok. A indústria de segurança tem feito mais que isso. Ela tem forçado os usuários a instalarem software antivírus, firewalls, detectores de todo tipo de malware e spyware e muito mais. E a pagar por isso, na maior parte das vezes. Mas não foi capaz de fazer nada para impedir que novas ondas de ataques surjam, ano após ano.

Não quero ser mal interpretado e não estou dizendo que há uma solução simples e definitiva para essa situação. O problema é muito amplo e uma solução para esta situação não será facilmente alcançada.

Entretanto, os programas de computador, do mais básico deles – o sistema operacional – passando por clientes de e-mail, programas navegadores etc., devem ajudar os usuários a fazerem coisas em seus computadores de forma segura. Tais soluções precisam ser suficientemente espertas e resilientes para que os usuários possam fazer o que eles querem fazer, e não deixar de funcionar se algo der errado ou fugir às regras.

* Kenneth van Wy atua há mais de 20 anos no segmento de segurança, tendo trabalhado para o CERT/CC da Carnegie Mellon University e no Departamento de Defesa dos Estados Unidos.

Se desaparecer do Google é impossível, saiba como despistar o “Big Brother” da internet

Após comprar DVDs pornô pela web, um internauta teve seu nome publicado no site de e-commerce. Ao tentar esclarecer uma dúvida com o vendedor, o comprador dos DVDs – estrelados respectivamente por Caroline Miranda e Vivi Ronaldinha – postou o nome completo. Meses depois, ele percebeu que, ao fazer uma busca pelo seu nome, esse era um dos primeiro resultados que aparecia. O homem entrou em contato com o site de comércio eletrônico e pediu para tirarem a menção ao nome. A informação foi excluída. No entanto, no Google ainda aparece a identificação do comprador.

A história é insólita, mas ilustra que não é possível fugir do serviço de busca do Google. Há vários casos semelhantes na internet de pessoas que querem remover citações aos seus nomes – inclusive ameaçando ir até o escritório da empresa em São Paulo para reclamar. Não dá para sumir do Google, mas há maneiras de diminuir a exposição.

Assim como o comprador dos DVDs, se você está em uma lista de aprovados de vestibular ou concurso, tem escrituras em um cemitério municipal, foi citado ou fez comentário em um blog ou já deu entrevista para um jornal impresso que tenha versão online, há grandes chances de seu nome estar na internet, esteja você de acordo ou não.

Isso ocorre pois, constantemente, os serviços de busca indexam – ou numa linguagem mais simples, agregam – sites novos, velhos ou atualizados no “banco de dados” do buscador. Ou seja, não existe um controle. Tudo que estiver relacionado a um nome, por exemplo, estará mais cedou ou mais tarde no Google.

Em dezembro do ano passado, em entrevista à CNBC, Eric Schmidt, CEO do Google, disse: “Se você tem algo que você não quer que ninguém saiba, talvez você não deva publicar isso na internet”, quando perguntado sobre a questão da privacidade na internet. Quanto ao moço dos DVDs, o Google alegou que “apenas organiza as informações” e que “não gera conteúdo”. Como recomendação, em comunicado, o Google sugere ao usuário que pare de clicar no resultado, pois isso pode mantê-lo em evidência nas buscas.

Como fugir

Não há muitas possibilidades para quem quer fugir do Google. Só o fato de o usuário ter uma conta no Twitter ou no Facebook com seu nome completo, durante uma busca é possível acessar o link para acesso ao perfil dessas pessoas nas redes sociais.

Segundo o analista sênior de SEO (Otimização de Motores de Busca) Bruno Galileu – que tem como função melhorar o posicionamento de websites em serviços de busca -, a única solução é se “camuflar”. “O jeito é não participar de nada com o nome real ou, em casos de comentários em blogs, postar como anônimo.” Até porque, na internet, como no momento da prisão, qualquer coisa divulgada pode ser usado para falar sobre você, seja de forma negativa ou positiva.

Há alguns anos, por exemplo, era comum a sobreposição de imagens para que o rosto de famosas e famosos aparecessem sobre corpos nus – mesmo que as celebridades nunca tivessem posado sem roupa. Com o surgimento de redes sociais e blogs, anônimos também viraram alvo dessas brincadeiras (muitas vezes de mau gosto), tendo suas informações e fotos reproduzidas de acordo com o interesse de outros internautas. No orkut, por exemplo, há comunidades em que internautas reclamam de já ter sido vítimas de perfil “roubado”, enquanto no Twitter são inúmeros os casos de contas fake (falsas).

A prova de que internautas podem produzir – de forma voluntária ou involuntária – informações contra eles próprios e pessoas queridas está na criação de Tumblrs, espécie de blog caracterizado por fotos e textos curtos. O cantor Felipe Dylon é atualmente protagonista de um dos Tumblrs mais populares, que reúne fotos postadas em seu blog oficial e também nas páginas de fãs. A intenção é outra, mas o conteúdo acaba sendo satirizado.

O que fazer?

“Com o desenvolvimento tecnológico, a questão da privacidade fica à mercê do juiz que está cuidando do caso e das circunstâncias da ação”, explica o advogado Renato Opice Blum, especialista em direito eletrônico. Ele ressalta que a gravidade do caso pode ser mensurada pelo grau de constrangimento que um texto ou uma imagem pode causar a uma pessoa.

Em linhas gerais, o conselho para quem se sentir lesado por algo na internet é juntar provas (dar prints na tela e salvar) e procurar o autor da injúria ou o portal que hospeda a informação caluniosa. Caso haja recusa, a pessoa deve procurar um advogado.

No entanto, o acesso direto a um site não é a única forma de visualizar um conteúdo. Muitas pessoas procuram informações através de serviços buscadores. “Às vezes um conteúdo pode ser retirado de um site, porém, se você fizer uma busca, você verá que aquele constrangimento sofrido pode estar por lá ainda”, adverte Opice Blum.

Nesse caso, complementa o advogado, o buscador, por não ter indexado as atualizações da página com a difamação se torna co-autor da ação e pode ser submetido a pagar uma indenização à pessoa lesada.

Para saber o que estão falando de você na web há dois aplicativos que ajudam na função. Há o Google Alerts. Basta digitar as palavras que você quer monitorar e cadastrar um e-mail. De estilo semelhante, tem o Social Mention e o Keotag. Ambos fazem buscas em blogs e redes sociais.

Jogue limpo com o Google AdSense e ganhe mais dinheiro

A primeira dica para aumentar seus ganhos com o seu site é jogar limpo com o Google AdSense. Siga todas as regras e políticas estabelecidas pelo programa. Jamais clique em seus próprios anúncios. Isso pode atrapalhar e até cancelar o sucesso de seu site.

No início, os ganhos podem ser baixos, dependendo da quantidade de visitas únicas, ou mesmo até surpreender. Achar os melhores posicionamentos para os anúncios requer dedicação e muita atenção por parte do editor.

O Google AdSense foi desenvolvido para deixar as propagandas mais relevantes e de acordo com o conteúdo de seu site. Deste modo, você pode se dedicar ao seu conteúdo enquanto o Google trabalha silenciosamente no departamento comercial do seu site.

Precauções antes de testar o Google AdSense

Se você estiver testando um novo layout do seu site, provavelmente irá recarregar sua página diversas vezes. Se em alguma página você tiver anúncios do Google, cada vez que recarregar, seu site fará uma requisição aos servidores do Google por um novo lote de anúncios.

Certamente o Google “inconsciente” que você está testando seu site, pode penalizar sua conta por “clique-fraude”, desde que suas requisições de anúncios continuem sob o mesmo IP. E no pior dos casos, você pode clicar acidentalmente em seus anúncios, criando um extra em suas “impressões de anúncios” que poderão alterar seu CTR.

Um modo simples de evitar esse problema sério é remover o código do AdSense de todas as suas páginas antes de testar. Mas isto pode não ser a melhor solução, pois os anúncios do Google são uma importante parte de seu layout. Em vez de usar o código do AdSense, adicione uma imagem gráfica com as mesmas dimensões do anúncio do AdSense que você irá exibir (o Google fornece imagens estáticas nos formatos dos anúncios).

Caso tenha alguma dúvida, entre em contato com o Google AdSense. A equipe do Google é rápida para tirar todas as suas dúvidas. As políticas do Google AdSense requerem sites que estejam ativos e não em construção. Quando seu site estiver completo e ativo, você vai querer adicionar o AdSense.