Aqui vão dicas básicas e valiosas para proteger você e seus dados desse mundo louco. Crédito: Shaye Anderson

​O Guia Motherboard para não ser hackeado

Aqui vão dicas básicas e valiosas para proteger você e seus dados desse mundo louco.

Aqui vão dicas básicas e valiosas para proteger você e seus dados desse mundo louco. Crédito: Shaye Anderson

Às vezes a internet pode ser um lugar assustador em que hackers roubam milhões de senhas numa tacada ou causam blecautes de cidades inteiras. O futuro não deve ser mais pacífico que isso: vemos no horizonte fenômenos como casas inteligentes com robôs que podem matar, notebooks-hackers voadores e perigos associados ao roubo de informações genéticas.

Mas cá estão as boas novas: você não precisa ficar com medo. Ainda que invasões sejam um perigo real e crescente, há algumas medidas básicas que podem deixar você em segurança na internet. Nossa missão aqui é passá-las adiante de forma bem simples. (Estamos do seu lado, cara! Força! Não vamos desistir!)

Há, porém, algumas coisas que você precisa saber antes das dicas. Primeiro: não existe segurança perfeita. Se alguém quer mesmo te hackear e tem os recursos necessários para tanto, essa pessoa o fará. Segundo: o mais importante a se considerar quando falamos de segurança na rede diz respeito aos dados que você quer proteger e, principalmente, de quem quer proteger. Em linguagem hacker isso se chama "modelagem de ameaças". (Use o termo em conversas rotineiras sobre hackers, aliás. O pessoal ficará impressionado.)

Dito isso, vamos lá.

ADEQUE-SE ÀS AMEAÇAS

Nenhum plano de segurança é igual ao outro. Os tipos de proteção escolhidos por você variam de acordo com quem quer te invadir ou ler suas mensagens. Pense como um técnico de futebol – ou basquete, vôlei, de Pókemon, o que preferir: você precisa adaptar sua estratégia de defesa de acordo com o potencial do atacante adversário.

A ameaça em questão é um ex-namorado que quer invadir seu Faceboook? Certifique-se que ele não tem sua senha. (Não compartilhe senhas essenciais com as pessoas, não importa o que seja; no caso do Netflix, certifique-se de nunca usar aquela senha em outro lugar.) Você quer evitar que doxers oportunistas obtenham dados pessoais seus, tipo a data de seu aniversário, que podem ser usados para encontrar demais detalhes? Bom, então fique de olho no que você compartilha publicamente nas redes sociais. Além disso, valer-se da autenticação em dois passos (leia abaixo) pode ajudar bastante a frustrar criminosos mais sérios.

Mas, veja só, superestimar sua ameaça pode ter o efeito contrário: passar a usar sistemas operacionais personalizados, máquinas virtuais ou qualquer coisa mais técnica quando não é necessário (ou quando você não sabe bem como usar), a coisa pode sair pela culatra. Na melhor das hipóteses, as tarefas mais mundanas demorarão um pouco mais; na pior, talvez você esteja se enganando com um falso senso de segurança cheio de badulaques e penduricalhos, ao passo em que deixa de lado o que de fato importa para uma ameaça em específico.

Isso na verdade não impede a ação de nenhum hacker. (Crédito: Shutterstock/viviamo)

MANTENHA SEUS PROGRAMAS ATUALIZADOS

Provavelmente a coisa mais simples e básica que se pode fazer para se proteger é manter o software em dia. Isso significa utilizar a versão atual de qualquer que seja seu sistema operacional, bem como demais aplicativos e programas. Tenha em mente que isso não necessariamente significa que você deveria adotar a versão mais recente de um sistema operacional como, digamos, o Windows 10. (Em alguns casos, versões um pouco mais antigas de sistemas operacionais são atualizadas. Não é o caso do Windows XP, parem de usá-lo!). O que importa mesmo é que seu SO ainda receba atualizações de segurança e você as instale.

Assim sendo, se é pra aprender algo como este guia é: atualize, atualize, atualize.

Muitos dos mais comuns ataques tiram vantagem de falhas em programas desatualizados tais como navegadores ou leitores de PDF. Mantendo tudo em dia há uma chance menor de se ver vítima de ransomware, por exemplo.

USE UM GERENCIADOR DE SENHAS

Todos temos senhas demais na memória, o que explica porque as pessoas as reutilizam. E por mais que nossos cérebros não sejam lá muito ruins nisso de lembrá-las, é quase impossível memorizar 20 ou mais boas senhas.

A boa nova é que a solução para este problema já existe: gerenciadores de senhas. Estes aplicativos te ajudam a criar boas senhas automaticamente, as administram e simplificam sua vida na internet. Com um gerenciador, tudo que você tem que fazer é lembrar de uma única senha, que guarda as demais outras.

Talvez lhe pareça perigoso salvar suas senhas no PC. E se um hacker invadir? Certeza que é melhor que deixar tudo na cabeça? Bom, não necessariamente: na maioria dos casos, o risco de alguém tirar vantagem de uma senha compartilhada na web é bem maior do que algum hacker fodão usar uma série de malwares complicados em seu aparelho. É mais uma questão de compreender sua ameaça, vale repetir.

Então, por favor, use um dos vários gerenciadores de senha espalhados por aí. Isso deixará você – e o resto de nós – mais seguros. E facilitará sua vida, acredite.

USE A AUTENTICAÇÃO EM DOIS PASSOS

Ter senhas fortes e únicas é um excelente primeiro passo, mas até mesmo elas podem ser roubadas. Então, para suas contas mais importantes (seu email principal, Facebook e Twitter), talvez você queira incluir uma dose extra de proteção conhecida como autenticação em dois passos.

Ao habilitar tal funcionalidade, você precisará de mais do que somente uma senha para logar. Geralmente é um código numérico enviado para o seu telefone ou um código criado por outro aplicativo (o que é ótimo caso seu celular não tenha sinal enquanto você acessa aquele site).

Nos últimos meses a mídia tem dado muita atenção a esse negócio de como – possivelmente – os celulares não são adequados para a autenticação em dois passos. O número de telefone do ativista Deray McKesson foi roubado, o que significa que hackers com este em mãos poderiam obter os códigos enviados para a proteção de contas diretamente. Já o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST), parte do governo norte-americano que cria diretrizes sobre regras e medidas, incluindo aí a segurança, há pouco criticou o uso de autenticação com base em SMS.

O ataque a Deray não foi nada sofisticado: envolveu fazer com que sua operadora desse um novo cartão SIM aos criminosos. É difícil se defender disso e há outras formas de obter aqueles códigos enviados por mensagens de texto, já que teoricamente podem ser importadas por alguém de olho nas vulnerabilidades do backbone que leva nossas conversas adiante. Há também a possibilidade de se usar um apanhador de IMSI, também conhecido como Stingray, para interceptar comunicações e mensagens de verificação também. (Falamos bastante desse aparelhinho que agora está sendo usado pelas autoridades brasileiras na matéria sobre vigilância nas Olimpíadas.)

Mas, além do truque de se conseguir um novo cartão SIM, estes ataques estão longe de serem simples – não só porque exigem hardware específico como Stingrays, mas também porque custam relativamente caro. Logo, falando em termos realistas, para a grande parte das pessoas a autenticação em dois passos por SMS segue como uma medida de segurança robusta que faz o que tem que fazer: adicionar uma camada extra à senha que poderia ser roubada de outra forma.

Além disso você pode optar, dependendo do site, por outra opção que não seja o envio de SMS, como o uso de um aplicativo de autenticação no seu smartphone (como o Google Authenticator) ou por meio de um token físico como um Yubikey. Se há essa opção, seria ótimo usá-la, mas seria besteira deixar o SMS de lado, ainda mais se você não é alvo de ataques direcionados.

A autenticação em dois passos é uma excelente maneira de impossibilitar cibercriminosos comuns de invadirem suas contas. Veja aqui quem oferece o serviço e como utilizá-lo.

Um token como um Yubikey (acima) pode ser uma opção de autenticação em dois passos segura que não exige o uso de seu celular. Crédito: Jonathan Molina/Flickr

NÃO USE FLASH

O Flash é um dos softwares menos seguros já feitos. Hackers o amam porque ele tem mais buracos que queijo suíço. Para nossa alegria, boa parte da web já o deixou para lá, então não precisamos dele para ter uma boa experiência online. É uma boa considerar expurgá-lo de seu PC ou ao menos mudar as configurações no seu navegador para ativar o Flash apenas quando necessário.

USE ANTÍVIRUS, PÔ

Ok, ok, você já ouviu essa antes. Capaz até de seus pais terem dito isso. É o novo "leve a blusa". Mas saiba que os antivírus, por ironia do destino, se tornaram artefatos cheios de brechas. Se você não é alvo de hacker profissas do governo ou criminosos muito espertalhões, usá-los ainda é uma boa ideia – apesar de não resolver todos seus problemas, ainda menos agora, em 2016, ano em que descobrimos que é preciso mais para se manter seguro.

ADOTE ALGUNS SIMPLES PLUG-INS DE SEGURANÇA

Às vezes, tudo que um hacker precisa pra te pegar é o site certo – aquele cheio de malware. Por isso vale usar alguns plug-ins simples daqueles que você instala e esquece como adblockers, que te protegem de propagandas maliciosas apresentadas por sites suspeitos que você pode acabar esbarrando por aí. (Seria legal se você colocasse o Motherboard na lista de liberados porque os anúncios ajudam a manter a gente de pé.).

Outro plug-in útil é o HTTPS Everywhere, que força sua conexão a ser criptografada (quando o site suporta a função). Isso não vai salvar sua pele se o site em questão tem malware, mas, em alguns casos, ajuda a impedir que hackers te redirecionem para versões falsas do site e, no geral, te protege contra gente mal-intencionada tentando fuçar na sua conexão.

USE VPNs

Caso você esteja utilizando a internet em um local público, seja o Starbucks, um aeroporto ou até um apartamento do Airbnb, você estará compartilhando a conexão com desconhecidos. E se tiver um hacker na mesma rede, ele pode zoar sua conexão e seu computador.

NÃO SE EXPONHA DE GRAÇA

As pessoas adoram expor tudo de sua vida nas redes sociais mas, por favor, te imploramos, não poste foto do seu cartão de crédito por aí. E falando de forma mais geral, é bom ter em mente que uma postagem na internet está ali pra todo mundo ver e pode ter alguém ali tentando descobrir seu endereço por meio das rotas de bike que você posta, orgulhoso, nas redes sociais.

Informações pessoais tais como seu endereço de casa ou da escola (e seu mascote, a uma busca do Google de distância) também podem ser utilizadas para encontrar mais dados sobre você por meio de engenharia social. Quanto mais dados pessoais um hacker tem, maior a probabilidade de invadir uma de suas contas. Com isso em mente, leve em conta a possibilidade de alterar as configurações de privacidade em algumas destas contas também.

NÃO SAIA ABRINDO ANEXOS POR AÍ

Por décadas, criminosos cibernéticos tem enfiado malware dentro de anexos tais como documentos do Word ou PDFs. Por vezes, antivírus conseguem dar jeito nessas ameaças, mas o melhor mesmo é o bom senso: não abra anexos (nem clique em links) que não estava esperando ou de gente que não conhece. Mas, caso queira muito mesmo fazer isso, é bom tomar alguns cuidados, como abrir os anexos dentro do Chrome (sem baixar os arquivos). Ou ainda: salve o arquivo no Google Drive e abra-o ali mesmo, o que é ainda mais seguro porque o arquivo será aberto pelo Google e não pelo seu computador.

DESABILITE MACROS

Hackers podem usar macros do Microsoft Office dentro de documentos para espalharem malware por aí. É um truque antigo, mas voltou com força em golpes de ransomware. Desabilite-os!

FAÇA BACKUPS

Sabemos que isso não é novidade – seus avôs devem falar isso nos almoços de domingo –, mas caso haja hackers destruindo ou impedindo que você acesse seus arquivos (alô ransomware!), então é bom fazer backups. O ideal é fazê-los quando estiver desconectado da internet em um HD externo, assim, em caso de ransomware, o backup não será infectado.

Sua vida não precisa ser o inferno cibernético ilustrado acima. A maior parte dos hacks sào oportunistas e precauções como estas ajudam bastante na sua segurança. Crédito: Shutterstock

FIQUE TRANQUILÃO

Por enquanto é só isso mesmo, afinal, como dissemos desde o início, é só um guia básico para usuários comuns. Se você é um ativista dos direitos humanos trabalhando em um país perigoso ou uma organização construindo infraestrutura de TI no improviso, com certeza isso aqui não é o bastante e você precisará de mais cuidados.

Ainda assim: estas são dicas valiosas e muito simples.

Lógico que alguns leitores logo virão apontar tudo que pode estar faltando aqui, e gostaríamos mesmo de ter esse retorno. O mundo da segurança está em mutação constante e o que vale hoje pode não valer amanhã. Nosso objetivo é manter este guia atualizado regularmente, então, amigo, entre em contato mesmo caso ache que faltou algo ou erramos em algum lugar.

E lembre-se: "modelagem de ameaças"!

Tradução: Thiago "Índio" Silva