Tópicos

Uma base forte: Como proteger contas e dispositivos

Dispositivos seguros

Última atualização: julho de 2022

Além das contas, é essencial manter todos os dispositivos – computadores, telefones, USBs, discos rígidos externos etc. – devidamente protegidos. Essa proteção começa com o cuidado com o tipo de dispositivos que sua organização e sua equipe compram e utilizam. Qualquer fornecedor ou fabricante que você selecionar deve ter um histórico comprovado de adesão aos padrões globais em relação ao desenvolvimento seguro de dispositivos de hardware (como telefones e computadores). Todos os dispositivos que você adquirir devem ser fabricados por companhias confiáveis que não tenham sido incentivadas a entregar dados e informações a um adversário em potencial. É importante observar que o governo chinês exige que as companhias chinesas forneçam dados ao governo central. Portanto, apesar da presença onipresente e econômica de smartphones como Huawei ou ZTE, eles devem ser evitados. Embora o custo mais baixo de hardware possa ser bastante atrativo para uma organização, os possíveis riscos de segurança às organizações que defendem a democracia, os direitos humanos ou a responsabilidade devem fazer com que outras opções de dispositivos sejam priorizadas, pois esse acesso aos dados ajudou a facilitar o direcionamento da mira do governo chinês e de outros governos para certos indivíduos e comunidades.

Seus adversários podem comprometer a segurança de seus dispositivos, e tudo o que você faz a partir deles, quando obtêm acesso físico ou acesso “remoto” ao seu dispositivo.

A segurança dos dispositivos e a sociedade civil

cyber Photo

Alguns dos malwares mais avançados do mundo foram desenvolvidos e implantados globalmente para atingir organizações da sociedade civil e defensores dos direitos humanos. Na Índia, por exemplo, a Amnesty International relatou que pelo menos nove defensores de direitos humanos foram atacados em 2020 por spyware (um tipo de software malicioso) em seus dispositivos móveis e computadores. O spyware foi transmitido através de uma série de e-mails de phishing com links para arquivos infectados compartilhados pelo Firefox Send (um programa de compartilhamento de arquivos descontinuado). Os dispositivos dos alvos que abriram os arquivos foram infectados com software que gravava áudio, interceptava teclas e mensagens, e os colocava sob total vigilância dos invasores. Esses ataques, que são frequentemente direcionados a grupos da sociedade civil e sua equipe individual, infelizmente são uma maneira comum de invasores obterem acesso “remoto” a um dispositivo.

Acesso aos dispositivos físicos por perda ou roubo

Para evitar comprometimento físico, é essencial manter seus dispositivos fisicamente seguros. Resumindo, não facilite para um adversário roubar ou mesmo tirar temporariamente seu dispositivo de você. Mantenha os dispositivos trancados quando forem deixados em casa ou no escritório. Ou, se achar que é mais seguro, carregue-os consigo. Obviamente, isso significa que parte da segurança do dispositivo é a segurança física dos seus espaços de trabalho (seja em um ambiente de escritório ou em casa). Você precisará instalar fechaduras fortes, câmeras de segurança ou outros sistemas de monitoramento, principalmente se sua organização estiver em alto risco. Lembre os funcionários de que devem tratar os dispositivos da mesma forma que tratariam uma grande pilha de dinheiro, ou seja, não os deixando espalhados sem vigilância ou desprotegidos.

E se um dispositivo for roubado?

Para limitar o impacto se alguém conseguir roubar um dispositivo – ou mesmo se apenas obtiver acesso a ele por um curto período de tempo – certifique-se de obrigar o uso de senhas ou códigos de acesso fortes nos computadores e telefones de todos. As mesmas dicas de senha da seção Senhas deste manual se aplicam a uma senha forte para um computador ou laptop. Quando se trata de bloquear seu telefone, use códigos com pelo menos seis a oito dígitos e evite usar o “deslizamento padrão” para desbloquear a tela. Para obter dicas adicionais sobre bloqueios de tela, confira o Kit de desintoxicação de dados da Tactical Tech. O uso de senhas fortes no dispositivo dificulta consideravelmente o acesso rápido de um adversário às informações do seu dispositivo em caso de roubo ou confisco. Com uma senha forte em vigor, ativar o Face ID ou o desbloqueio por impressão digital pode ser interessante. Porém, certifique-se de desativá-los (enquanto mantém sua senha forte ativada) antes de qualquer atividade de alto risco, como protestos ou travessias de fronteira, caso você e sua equipe estejam preocupados com o confisco de dispositivos por parte das autoridades.

Se algum dispositivo emitido pela organização tiver um recurso “Find my Device”, como o Find My iPhone do iPhone e o Find My Device do Android, considere exigir que a equipe o ative. Incentive a equipe a usar esses recursos também em dispositivos pessoais. Com esses recursos ativados, o proprietário do dispositivo (ou um contato confiável) pode localizar o dispositivo ou limpar remotamente seu conteúdo caso seja roubado, perdido ou confiscado. Para iPhones, você também pode configurar o dispositivo para realizar automaticamente uma autolimpeza depois de várias tentativas de login com falha. Esses recursos de gerenciamento de dispositivos tornam-se extremamente importantes para uma organização quando um dispositivo com informações confidenciais é perdido ou cai em mãos erradas.

E a criptografia dos dispositivos?

É importante usar criptografia, embaralhando os dados para que fiquem ilegíveis e inutilizáveis em todos os dispositivos, principalmente em computadores e smartphones. Você deve configurar todos os dispositivos em sua organização com algo conhecido omo criptografia de disco completo, se possível. A criptografia de disco completo significa que a totalidade de um dispositivo é criptografada para que um adversário, se o roubar fisicamente, não consiga extrair o conteúdo do seu interior sem saber a senha ou chave usada para criptografá-lo.

Muitos smartphones e computadores modernos oferecem criptografia de disco completo. Dispositivos da Apple, como iPhones e iPads, de forma bastante conveniente ativam a criptografia de disco completo quando você define uma senha normal do dispositivo. Os computadores Apple que usam macOS fornecem um recurso chamado FileVault, que pode ser ativado para criptografia de disco completo.

Os computadores Windows que executam licenças profissionais, corporativas ou educacionais oferecem um recurso chamado BitLocker, que pode ser ativado para criptografia de disco completo. Você pode ativar o BitLocker seguindo essas instruções da Microsoft, que talvez precisem ser habilitadas primeiro pelo administrador da sua organização. Se a equipe tiver apenas uma licença doméstica para seus computadores Windows, o BitLocker não estará disponível. No entanto, ainda podem ativar a criptografia de disco completo acessando “Atualização e ; segurança” &; “Criptografia do dispositivo” nas configurações do sistema operacional Windows.

Os dispositivos Android, a partir da versão 9.0 e posterior, são fornecidos com a criptografia baseada em arquivo ativada por padrão. A criptografia baseada em arquivo do Android opera de maneira diferente da criptografia de disco completo, mas ainda oferece segurança forte. Se você estiver usando um telefone Android relativamente novo e tiver definido uma senha, a criptografia baseada em arquivo deve ser ativada. No entanto, é uma boa ideia verificar suas configurações apenas para ter certeza, principalmente se o seu telefone tiver mais de dois anos. Para verificar, vá para Configurações > Segurança no seu dispositivo Android. Dentro das configurações de segurança, você deve ver uma subseção para “criptografia” ou “criptografia e credenciais”, que indicará se seu telefone está criptografado e, caso contrário, permitirá que você ative a criptografia.

Para computadores (seja Windows ou Mac), é particularmente importante armazenar todas as chaves de criptografia (chamadas de chaves de recuperação) em um local seguro. Essas “chaves de recuperação” são, na maioria dos casos, senhas ou frases secretas essencialmente longas. Caso esqueça a senha normal do dispositivo ou algo inesperado aconteça (como falha do dispositivo), as chaves de recuperação são a única maneira de recuperar seus dados criptografados e, se necessário, movê-los para um novo dispositivo. Portanto, ao ativar a criptografia de disco completo, salve essas chaves ou senhas em um local seguro, como uma conta de nuvem segura ou o gerenciador de senhas da sua organização.

Acesso remoto ao dispositivo – também conhecido como hacking

Além de manter os dispositivos fisicamente seguros, é importante mantê-los livres de malware. Security-in-a-Box da Tactical Tech fornece uma descrição útil do que é malware e por que é importante evitá-lo, o que é adaptado ligeiramente no restante desta seção.

Entenda e evite o malware 

Há muitas maneiras de classificar malware (que é um termo cujo significado é software malicioso). Vírus, spyware, worms, trojans, rootkits, ransomware e cryptojackers são todos tipos de malware. Alguns tipos de malware se espalham pela Internet por e-mail, mensagens de texto, páginas da web maliciosas e outros meios. Alguns se espalham por dispositivos como cartões de memória USB que são usados para trocar e roubar dados. E, enquanto alguns malwares exigem que um alvo desavisado cometa um erro, outros podem infectar silenciosamente sistemas vulneráveis sem que cometa qualquer erro. 

Além do malware geral, que é amplamente divulgado e destinado ao público em geral, o malware direcionado costuma ser usado para interferir ou espionar determinado indivíduo, organização ou rede. Criminosos comuns usam essas técnicas, assim como os serviços militares e de inteligência, terroristas, assediadores virtuais, cônjuges abusivos e agentes políticos suspeitos.

Seja qual for o nome, independentemente da forma como é distribuído, o malware é capaz de arruinar computadores, roubar e destruir dados, falir organizações, invadir a privacidade e colocar os usuários em risco. Em síntese, o malware é realmente perigoso. No entanto, há algumas etapas simples que podem ser adotadas por sua organização para se proteger contra essa ameaça comum.

Uma ferramenta antimalware nos protegerá?

Infelizmente, as ferramentas antimalware não são uma solução completa. No entanto, é uma boa ideia usar algumas ferramentas básicas e gratuitas como ponto de partida. Com novos riscos no mundo real que surgem com tanta frequência, o malware muda tão rapidamente que confiar em qualquer ferramenta desse tipo não pode ser sua única defesa.

Se você estiver usando o Windows uma olhada no Windows Defender integrado. Computadores Mac e Linux não vêm com software antimalware integrado, nem dispositivos Android e iOS. Você pode instalar uma ferramenta confiável e gratuita como o Bitdefender ou Malwarebytes para esses dispositivos (e computadores Windows também).  Contudo, não confie nesse recurso como sua única linha de defesa, pois eles certamente deixarão passar alguns dos novos ataques mais direcionados e perigosos.

Além disso, seja cauteloso ao baixar ferramentas antimalware ou antivírus respeitáveis apenas de fontes legítimas (como os sites vinculados acima). Infelizmente, existem muitas versões falsas ou comprometidas de ferramentas antimalware que mais prejudicam do que beneficiam.

Na medida em que você usa o Bitdefender ou outra ferramenta antimalware em sua organização, certifique-se de não executar duas delas ao mesmo tempo. Muitas identificam o comportamento do outro programa antimalware como suspeito e o impedem de ser executado, o que compromete o funcionamento de ambas. O Bitdefender ou outros programas antimalware respeitáveis podem ser atualizados gratuitamente, e o Windows Defender integrado recebe atualizações junto com seu computador. Certifique-se de que seu software antimalware se atualize regularmente (algumas versões de teste de software comercial que acompanham um computador serão desativadas após o término do período de avaliação, tornando-o mais perigoso do que útil). Novos malwares são criados e distribuídos todos os dias, e seu computador rapidamente se tornará ainda mais vulnerável se você não acompanhar as novas definições de malware e técnicas antimalware. Se possível, configure seu software para instalar atualizações automaticamente. Se sua ferramenta antimalware tiver um recurso opcional “sempre ativado”, é recomendado habilitá-lo e considerar verificar ocasionalmente todos os arquivos em seu computador. 

Mantenha os dispositivos atualizados

As atualizações são essenciais. Use a versão mais recente de qualquer sistema operacional executado em um dispositivo (Windows, Mac, Android, iOS etc.) e mantenha esse sistema operacional atualizado. Mantenha outros softwares, navegadores e plug-ins de navegador atualizados também. Instale as atualizações assim que estiverem disponíveis, de preferência ativando as atualizações automáticas. Quanto mais atualizado for o sistema operacional de um dispositivo, menos vulnerabilidades você terá. Pense nas atualizações como um band-aid colocado em um corte aberto: elas selam vulnerabilidades e reduzem significativamente as chances de você ser infectado. Além disso, desinstale o software que você não usa mais. Softwares desatualizados costumam apresentar problemas de segurança e você pode ter instalado uma ferramenta que não está mais sendo atualizada pelo desenvolvedor, deixando-a mais vulnerável a hackers.

Malware no mundo real: As atualizações são essenciais

Malware photo

Em 2017, os ataques do ransomware WannaCry infectaram milhões de dispositivos em todo o mundo e causaram o fechamento de hospitais, entidades governamentais, grandes e pequenas organizações e companhias em dezenas de países. Por que o ataque foi tão eficaz? Por causa de sistemas operacionais Windows desatualizados, “sem patches”, muitos dos quais foram inicialmente pirateados. Grande parte dos danos – humanos e financeiros – poderia ter sido evitada com melhores práticas de atualização automatizada e o uso de sistemas operacionais legítimos.

Tenha cuidado com os USBs

Tenha cuidado ao abrir arquivos enviados a você como anexos, por meio de links de download ou por qualquer outro meio. Além disso, pense duas vezes antes de inserir mídias removíveis, como pen drives, cartões de memória flash, DVDs e CDs em seu computador, visto que podem ser um vetor de malware. USBs que foram compartilhados por certo tempo são muito propensos a conter vírus. Para opções alternativas de compartilhamento de arquivos com segurança em toda a sua organização, dê uma olhada na seção Compartilhamento de arquivos do manual.

Seja cauteloso também com os outros dispositivos aos quais você se conecta por meio de Bluetooth. Não há problema em sincronizar seu telefone ou computador com um alto-falante Bluetooth conhecido e confiável para reproduzir sua música favorita, mas tenha cuidado ao vincular ou aceitar solicitações de qualquer dispositivo desconhecido. Permita apenas conexões com dispositivos confiáveis e lembre-se de desligar o Bluetooth quando não estiver em uso.

Seja inteligente ao navegar

Nunca aceite e execute aplicativos provenientes de sites que você não conhece e nos quais não confia. Em vez de aceitar uma “atualização” oferecida em uma janela pop-up do navegador, por exemplo, verifique se há atualizações no site oficial do aplicativo relevante. Conforme discutido na seção Phishing do manual, é essencial ficar alerta ao navegar em sites. Verifique o destino de um link (ao passar o mouse sobre ele) antes de clicar, confira o endereço do site ao seguir o link e avalie se parece adequado antes de inserir informações confidenciais, como sua senha. Não clique em mensagens de erro ou avisos e observe as janelas do navegador que aparecem automaticamente. Leia-as com atenção em vez de apenas clicar em “Sim” ou “OK”. 

E os smartphones?

Assim como nos computadores, mantenha o sistema operacional e os aplicativos móveis atualizados, e ative as atualizações automáticas. Instale programas somente a partir de fontes oficiais ou confiáveis, como a Play Store do Google e a App Store da Apple (ou F-droid, uma loja de aplicativos gratuita e de código aberto para Android). Os aplicativos podem conter malware e continuar apresentando um funcionamento normal, e você nem sempre saberá se algum deles é malicioso. Certifique-se também de baixar a versão legítima de um aplicativo. Especialmente em dispositivo Android, existem versões “falsas” de aplicativos populares. Portanto, certifique-se de que o aplicativo tenha sido criado pela companhia ou desenvolvedor adequado, tenha boas críticas e o número esperado de downloads (por exemplo, uma versão falsa do WhatsApp pode ter apenas alguns milhares de downloads, enquanto a versão real tem mais de cinco bilhões). Preste atenção às permissões que seus aplicativos solicitam. Se parecerem excessivas (como uma calculadora exigindo acesso à sua câmera ou Angry Birds solicitando acesso à sua localização, por exemplo), negue a solicitação ou desinstale o aplicativo. Desinstalar aplicativos que você não usa mais também pode ajudar a proteger seu smartphone ou tablet. Às vezes, desenvolvedores vendem a propriedade de seus aplicativos para outras pessoas. Esses novos proprietários podem tentar lucrar adicionando código malicioso.

Malware no mundo real: Aplicativos móveis maliciosos

iphone Screen

Há anos, hackers de vários países usam aplicativos falsos na Google Play Store para disseminar malware. Um caso específico direcionado a usuários no Vietnã veio à tona em abril de 2020. Essa campanha de espionagem usava aplicativos falsos, que supostamente ajudavam os usuários a encontrar pubs próximos ou procurar informações sobre igrejas locais. Uma vez instalados inadvertidamente por usuários do Android, os aplicativos maliciosos coletavam registros de chamadas, dados de localização e informações sobre contatos e mensagens de texto. Este é apenas um dos muitos motivos para ter cuidado com os aplicativos baixados em seus dispositivos.

Economize dinheiro e aumente a segurança do dispositivo com o Tails para sua organização

Uma opção muito segura que requer um pouco de habilidade técnica para configurar é o sistema operacional Tails. Este sistema operacional portátil é de uso gratuito e você pode inicializá-lo diretamente de um USB, ignorando a necessidade de depender de sistemas operacionais Windows ou Mac licenciados. O Tails também é uma boa opção para aqueles com risco extremamente alto, pois incorpora uma ampla variedade de recursos de aprimoramento de privacidade. Esses recursos incluem a integração do Tor (discutido abaixo) para proteger seu tráfego na web e a limpeza completa da memória toda vez que você desliga o sistema operacional. Basicamente, esses recursos permitem que você comece do zero toda vez que reiniciar o computador. O Tails também possui um modo de persistência, que permite salvar arquivos e configurações importantes em várias sessões, se desejado.

Outra opção para um sistema operacional gratuito e seguro é o Qubes OS. Embora não seja a opção mais simples para usuários não técnicos, o Qubes foi projetado para limitar a ameaça de malware e é outra opção a ser considerada para usuários mais avançados e de alto risco em sua organização, principalmente se os custos de licenciamento forem um desafio. 

E se não pudermos pagar por software legal?

Pode ser oneroso comprar versões licenciadas de software popular como o Microsoft Office (Word, Powerpoint, Excel) para toda a sua organização, mas um orçamento limitado não é desculpa para baixar versões piratas de software ou deixar de mantê-las atualizadas. Essa não é uma questão de moralidade, é uma questão de segurança. O software pirata costuma estar infectado por malware e, muitas vezes, não pode ser corrigido diante de falhas de segurança.

Se não puder comprar o software que sua organização precisa, há uma grande variedade de excelentes softwares gratuitos e de código aberto, como LibreOffice (um substituto para aplicativos padrão do Microsoft Office) ou GIMP (um substituto para Photoshop) que podem atender às suas necessidades. Considere também se registrar por meio da Tech Soup, uma organização que oferece grandes descontos em softwares populares para organizações sem fins lucrativos.

Mesmo que você possa pagar por software e aplicativos legítimos, seu dispositivo ainda estará em risco se o sistema operacional subjacente não for legítimo. Portanto, se sua organização não puder cobrir o pagamento de licenças do Windows, considere alternativas mais econômicas, como Chromebooks, que são uma opção excelente e que fornece fácil proteção se sua organização trabalha principalmente na nuvem. Se você estiver usando o Google Docs ou o Microsoft 365, não precisará de muitos aplicativos de desktop – os editores gratuitos de documentos e planilhas no navegador são mais do que suficientes para praticamente qualquer uso.

Outra opção, se você tiver funcionários com habilidades técnicas, é instalar um sistema operacional gratuito baseado em Linux (uma alternativa de código aberto aos sistemas operacionais Windows e Mac) em cada computador. Uma opção Linux popular e bastante intuitiva é o Ubuntu. Independentemente do sistema operacional escolhido, certifique-se de que alguém na organização seja responsável por realizar verificações regulares com a equipe para garantir que as atualizações mais recentes tenham sido instaladas.

Ao escolher uma nova ferramenta ou sistema, considere como sua organização pode apoiá-lo técnica e financeiramente a longo prazo. Faça a si mesmo perguntas como: Você pode pagar e reter a equipe necessária para manter a ferramenta ou sistema com segurança? Você pode pagar por assinaturas recorrentes? Você tem acesso a descontos de grupos como o Tech Soup mencionado acima? Responder a essas perguntas pode ajudar a garantir que suas estratégias de software e tecnologia sejam mais bem-sucedidas ao longo do tempo.

Como manter a segurança dos dispositivos

  • Capacite a equipe quanto aos riscos de malware e as melhores práticas para evitá-lo.
    • Forneça políticas sobre como conectar dispositivos externos, clicar em links, baixar arquivos, aplicativos e verificar permissões de software e aplicativos.
  • Decrete que dispositivos, software e aplicativos devem ser mantidos totalmente atualizados.
    • Ative as atualizações automáticas sempre que possível.
  • Certifique-se de que todos os dispositivos estejam usando software licenciado.
    • Se o custo for proibitivo, migre para uma alternativa sem custo.
  • Exija proteção por senha de todos os dispositivos organizacionais, incluindo dispositivos móveis pessoais usados para comunicações relacionadas ao trabalho.
  • Habilite a criptografia de disco completo em dispositivos.
  • Relembre frequentemente a equipe de manter seus dispositivos fisicamente seguros – e gerencie a segurança do seu escritório com travas e formas adequadas de proteger os computadores.
  • Não compartilhe arquivos usando USBs nem conecte USBs em seus computadores.
    • Use opções alternativas de compartilhamento seguro de arquivos.