Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quintas-feiras.

Quando preenchemos um formulário de login na web, o navegador questiona se queremos armazenar a combinação de usuário e senha para não termos de preencher isso no futuro. Em muitos casos, os próprios sites também oferecem o recurso "lembrar de mim" para que o login não precise ser feito novamente. Você sabia que as senhas armazenadas com esses recursos, ou mesmo a função de "lembrar", podem ser facilmente acessadas por quem tiver acesso ao seu computador e navegador - e que isso não é um problema?

Muitos internautas ficaram surpresos com uma revelação recente de que o Google Chrome possui um botão para mostrar todas as senhas armazenadas. Mas o Firefox também possui o mesmo botão. E os navegadores que não possuem esse recurso apenas escondem as senhas, mas elas ainda estão lá e podem ser facilmente resgatadas com as ferramentas certas.

O recurso "lembrar de mim" também funciona da mesma forma. Quando ele é usado, o site cria um identificador permanente, que é armazenado pelo navegador e reenviado quando a página for acessada. Nesse momento, o site saberá imediatamente qual é o usuário que está entrando no site. Mas nada impede que esse mesmo identificador presente no PC seja copiado e usado em outro computador no lugar da senha de acesso. Esse ataque é conhecido como "roubo de cookie".

O detalhe é que nada disso deveria ser surpreendente. Pense da seguinte forma: se você entra em seu Facebook, deixa o navegador aberto e abandona o computador, é óbvio que a pessoa que usá-lo em seguida poderá ver a página que foi deixada aberta. O roubo das senhas e dos identificadores de acesso é apenas uma extensão permanente dessa situação: o acesso já foi dado quando a pessoa usou o navegador.

Embora existam alguns recursos de "segurança" para dificultar o acesso aos dados, como o uso de uma senha-mestra no Firefox, eles não eliminam a essência do problema. Ainda é perfeitamente possível roubar os identificadores de acesso ou mesmo as senhas, uma vez que a senha-mestra já tenha sido digitada e, claro, acessar os sites que já estiverem "logados".

Na prática, esse não é um problema que o navegador de internet precisa ou mesmo pode resolver. Esse é um problema do sistema operacional. E é por isso que todos os sistemas possuem um recurso de "bloqueio de tela", que impede o uso do computador sem que a senha de login seja digitada.

No Windows, a tela de bloqueio pode ser facilmente ativada com a combinação tecla Windows+L. Caso a tela esteja bloqueada, quem for acessar o computador ainda pode usar o recurso de "trocar usuário" e escolher um usuário diferente. É por esse motivo que o Windows possui uma conta de "usuário convidado", configurada no Painel de Controle.

Tentar proteger as senhas ou o navegador de alguém que já está com acesso ao sistema é uma batalha perdida, embora o impacto - que alguém possa ler todas as suas senhas e acessar todos os sites em qual seu navegador está autorizado - pareça um pouco extremo. No entanto, é preciso criar o hábito de bloquear a tela e compreender que sistemas dispõem de diversos usuários porque os próprios aplicativos dependem dessa separação para fornecer com segurança os recursos que possuem - inclusive, aí, o armazenamento das senhas.

Ou seja, o navegador faz parte de um ambiente maior (o sistema) e sua segurança precisa ser pensada nesse ambiente. O mesmo vale para celulares: se você não está usando um código de bloqueio, é natural que qualquer um que pegue seu celular possa acessar tudo que nele estiver armazenado ou configurado.

O uso de senhas de bloqueio e de usuários distintos quando o computador for usado por mais de uma pessoa são importantíssimos - a segurança dos softwares é pensada a partir desse ponto de partida. Se você não fizer uso desses recursos, lembrar qualquer senha ou acesso, em qualquer lugar, é extremamente perigoso.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Muitos ataques de hackers – talvez até a maioria – ocorrem hoje por meio de páginas de internet, seja explorando falhas no navegador e plug-ins, apresentando páginas de banco clonadas ou oferecendo o download de arquivos maliciosos. Quem faz os navegadores, claro, está tentando tornar a web mais segura, criando recursos que dificultem a ação dos criminosos. Será que algum deles é mais seguro?

Pesquisas sobre a segurança dos navegadores encontram resultados diferentes. Uma avaliação da Microsoft, por exemplo, entendeu que o Internet Explorer é o navegador mais seguro. Outra pesquisa, financiada pelo Google, concluiu que o navegador Chrome é o mais seguro.

Instituições independentes estão favorecendo mais o Chrome. A fabricante de antivírus Kaspersky Lab, por exemplo, já defendeu o navegador do Google em mais de uma ocasião. O Chrome também é o navegador recomendado por uma divisão de segurança do governo alemão.

A recomendação da coluna também é o Chrome, seguido do Firefox com NoScript. Vamos analisar os três principais navegadores (Chrome, Firefox e Internet Explorer) em algumas áreas importantes.

1. Bloqueio de phishing e vírus
Os três navegadores oferecem recursos para bloquear sites que contenham páginas clonadas de instituições financeiras e serviços web (phishing). Firefox, Chrome (e também o Safari) usam a mesma tecnologia, fornecida pelo Google, conhecida como Safe Browsing API. O Internet Explorer usa uma tecnologia própria da Microsoft: o SmartScreen.

Segundo uma análise independente da NSS Labs, o filtro SmartScreen é muito superior ao Safe Browsing API do Google usado pelos demais navegadores. Em parte isso se deve ao modo que o SmartScreen funciona e também à capacidade de atribuir uma "reputação" aos programas baixados da internet.

Segundo o teste mais recente da NSS Labs, a proteção oferecida pelo Internet Explorer bloqueia mais de 90% dos URLs e arquivos maliciosos, enquanto no Chrome, o segundo colocado, fica abaixo de 35%.

Porém, há um detalhe: o Chrome agora adota a Safe Browsing API v2 (versão 2) que, segundo a NSS Labs, possui uma função que não foi publicamente documentada. Navegadores sem acesso a esse recurso (Firefox e Safari) estão bloqueando menos de 4% dos ataques, segundo a estudo.

Se você depender do navegador para lhe informar quais sites e downloads são seguros, o Internet Explorer é o que oferece o melhor recurso.

2. Isolamento contra ataques
Os navegadores de internet constantemente acessam dados armazenados em servidores remotos – as próprias páginas web. Por esse motivo, eles estão expostos a ataques quando, por exemplo, um hacker altera um site legítimo. Mesmo que você nunca visite um site malicioso – o que já é difícil -, ainda pode sofrer um ataque que parte de um site legítimo que foi infectado.

Evitar sites maliciosos também é difícil porque os criminosos tentam ganhar reputação em sites de busca. Isso significa que uma pesquisa inocente sobre uma tema popular pode acabar levando você para um site malicioso.

Por conta desse motivo, dois navegadores, Chrome e Internet Explorer, oferecem recursos de isolamento, ou seja, tentar impedir que uma falha explorada no navegador tenha a capacidade de explorar o sistema inteiro Isso é chamado de "sandbox". Até o momento, brechas no recurso do Internet Explorer (chamado de Modo Protegido) têm sido mais comuns do que no Chrome, embora falhas existam.

De qualquer forma, o Firefox não oferece recurso semelhante para o próprio navegador, apenas para os plugins, e em geral resolve apenas problemas de estabilidade. Será preciso usar um software como o Sandboxie para ter uma proteção melhor, embora todos os navegadores possam se beneficiar da proteção oferecida por esse tipo de software de sandbox mais robusto.

3. Plug-ins
O Chrome traz consigo na atualização a versão mais nova do Flash Player. Ele também traz um leitor de documentos PDF próprio e, por padrão, executa o plug-in do Java apenas depois de uma autorização do usuário. Essa é uma configuração bastante segura.

Firefox também inclui a capacidade de bloquear e atualizar plug-ins, mas ainda depende de um plug-in externo (que pode estar desatualizado) para ler documentos PDF e não avisa o internauta a respeito da execução do Java.

Já o Internet Explorer não possui nenhum desses recursos. O IE oferece, porém, uma medida do desempenho dos plug-ins. Pode ser útil para acelerar o navegador, mas não resolve muita coisa na área de segurança. Felizmente, o Flash agora inclui um recurso para atualização 100% automática - é recomendado que ele seja ativado.

4. Instalação de extensões
O Internet Explorer exige uma assinatura digital válida para instalar uma extensão pelo navegador. Entre 2000 e 2005, mesmo essa proteção não foi suficiente, porque as empresas emissoras de certificados davam o aval para softwares maliciosos. Devido a esse "histórico", os problemas hoje parecem ter desaparecido.

Mesmo assim, o Firefox e o Chrome são mais permissivos e não requerem qualquer certificado para permitir a instalação de uma extensão. Por conta disso, ataques recentes no Facebook usando extensões de navegadores funcionavam apenas no Chrome e no Firefox.

É preciso ter bastante cuidado na hora de instalar extensões. Preferencialmente, isso só deve ser feito nos sites oficiais – e mesmo assim pode ser perigoso: extensões maliciosas já foram colocadas no Chrome Web Store.

5. Atualização
O Chrome atualiza a si mesmo automaticamente, sem intervenção do usuário. Se as atualizações automáticas estiverem configuradas corretamente no PC, o mesmo é verdade para o Internet Explorer.

O Firefox ainda exige que o usuário confirme a instalação de uma atualização. Além disso, atualizar o navegador pode torná-lo incompatível com plug-ins e extensões, o que raramente ocorre nos outros navegadores e pode fazer com que alguns internautas acabem ficando com versões mais antigas e inseguras do navegador.

Resultado
É preciso entender uma diferença entre "ser seguro" e "estar seguro". Se você estiver morando no interior em uma casa sem grades, você pode até sair de casa sem trancar a porta e nada será furtado. Em uma cidade grande, trancando a porta e mesmo com a presença da polícia nas ruas e alarme em sua casa, você ainda poderá ter uma surpresa.

Da mesma forma, você pode usar o navegador que tem mais recursos de segurança e acabar sendo atacado, simplesmente porque aquele navegador sofre mais ataques.

Um exemplo é o Safari, que não foi mencionado nos itens analisados. O navegador da Apple, quando usado no Windows, praticamente não sofre ataques. O mesmo pode ser dito do Opera.

Segundo algumas pesquisas, o Chrome já é o navegador mais usado no Brasil. Isso significa que, apesar de seus recursos extras de segurança, e a configuração segura de atualização e plug-ins que ele traz de fábrica, ainda é possível que ele seja atacado.

Mas o Chrome é, sim, o navegador que tem os melhores recursos para manter o PC protegido.

O Internet Explorer também tem bons recursos, mas ele não faz o suficiente na hora de proteger o internauta de problemas em plug-ins, que hoje são mais atacados do que os próprios navegadores. Além disso, o Internet Explorer não dispõe de algo tão poderoso quanto o NoScript para o Firefox.

Quanto ao bloqueio de softwares maliciosos, a área na qual o IE se destaca, a maioria das pessoas já usa um antivírus para realizar justamente essa tarefa. A proteção do IE acaba sendo um extra, mas na prática não dá toda a diferença representada pelos números. Para usuários de Windows XP que não podem usar o IE 9, Chrome e Firefox são ainda mais interessantes.

Em vários outros recursos, os navegadores são semelhantes: o IE tem bloqueio de rastreamento, enquanto o Firefox e o Chrome tem AdBlock; os três navegadores contam com janelas anônimas de navegação, e assim por diante.

É claro que também entra uma questão de preferência do usuário. Os navegadores hoje estão muito mais seguros do que há anos atrás. E você, o que acha? Comente ou pergunte na seção logo abaixo. Até a próxima!

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

A empresa de segurança Blue Coat identificou um aumento de 240% no número de sites maliciosos. Números como esse são bastante difíceis de coletar e confirmar, mas a percepção geral não está errada: o meio mais comum de ataque hoje tem como base as páginas de internet que foram criadas ou modificadas para a finalidade de infectar seu PC. Veja como isso funciona – e o que fazer para se proteger – na coluna de hoje.

Quando você visita uma página de internet que vai atacar o seu PC, o navegador de internet baixa um código como parte da página. A diferença desse código em relação ao resto é que ele não está ali para criar um elemento da na página – como um conteúdo ou um menu. Em vez disso, o código vai tentar causar propositalmente um erro, colocando o navegador em um estado que vai permitir a instalação de um vírus.

Erros que permitem esse tipo de comportamento são chamados de "falhas de segurança". Isso porque, no funcionamento normal do navegador, a única forma de uma página de internet infectar o PC seria por meio de um download devidamente autorizado e executado pelo internauta. Os sites maliciosos tentam usar diversas falhas diferentes para que a instalação ocorra sem qualquer aviso.

Além do próprio navegador, os códigos maliciosos são instruídos a usar falhas dos "plug-ins". Um plug-in é um software adicional que funciona como parte da sua experiência de navegação da internet. O navegador confia no plug-in e carrega, muitas vezes de forma automática, os conteúdos que requerem o plug-in. Exemplos de plug-in são o Adobe Flash, o Java e os leitores de PDF, como o FoxIt e o Adobe Reader.

Para o criminoso, atacar os plug-ins é interessante porque eles são usados por todos os navegadores. Com isso, o navegador em uso torna-se algo secundário.

Esses ataques são realizados de forma muito simples por parte do criminoso. Existem os chamados "exploit kits" que trazem um pacote inteiro de códigos para explorar falhas de segurança. Os kits ainda fornecem estatísticas, informando quantos internautas acessaram as páginas infectadas, quantos foram infectados com sucesso e qual a falha que mais foi usada com sucesso.

Onde estão as páginas infectadas
O kit normalmente não é acessado diretamente. O criminoso faz uma pequena alteração em outras páginas para fazer com que elas carreguem os códigos maliciosos. Isso pode ser feito inclusive em sites legítimos, que você acessa todos os dias. Os golpistas tiram proveito de falhas na programação do site para alterá-lo e infectar os futuros visitantes.

Em alguns casos, essa modificação é feita em anúncios publicitários. O site do jornal "New York Times" está na lista dos que já veicularam uma propaganda infectada.

Outra fraude comum é a criação de páginas novas com conteúdos muito populares em sites de busca. O objetivo é conseguir, em alguns casos, colocar essa página maliciosa entre os primeiros resultados da pesquisa. Quem clicar poderá ser infectado.

Por esse motivo, não existe um conteúdo específico que traz as infecções ao PC. Não importa se um site divulga letras de músicas, notícias ou imagens pornográficas - qualquer um pode estar infectado.

Como se proteger
O mais importante para se proteger desses ataques é manter o navegador de internet e os plug-ins atualizados. Com isso, as falhas de segurança que as páginas maliciosas tentam explorar são corrigidas, e o código não conseguirá infectar o computador.

• Navegadores: os navegadores de internet têm uma configuração de atualização automática própria. O Internet Explorer é atualizado pelo "Atualizações Automáticas" do Windows, configurável no Painel de Controle.


• Java: A atualização automática do Java pode ser configurada no Painel de Controle. Por padrão, o Java só verifica atualizações mensalmente. O ideal é que a verificação seja diária (Flash, Windows e os navegadores fazem a verificação diariamente). A maioria dos sites de internet não usa o Java dentro pelo navegador. Veja ainda como desativar o Java e por que desativar o Java.


• PDF: Para arquivos em PDF, o Acrobat Reader X (versão 10) realiza atualizações automáticas e tem outros novos recursos de segurança. Se você ainda tem a versão do Reader 9, faça o download do Reader X. É gratuito.


• Flash: o Adobe Flash é atualizado automaticamente somente ao reiniciar o computador. Preste muita atenção em uma janela do Flash que aparecer logo após fazer log-in no seu PC. Faça o download da versão mais nova do Flash, se estiver na dúvida.

Qualquer navegador pode ser usado de forma segura, porém. Basta ficar atento às atualizações de segurança e instalá-las o quanto antes. O Firefox, em especial, possui uma série de extensões que também pode deixar sua navegação mais segura. Exemplos são o Web of Trust e o NoScript.

A coluna vai ficando por aqui. Se você tem dúvidas, comentários ou sugestões, use o formulário de comentários, logo abaixo. Para conferir outras dicas da coluna, siga o perfil @g1seguranca no Twitter.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

>>> Gerenciador de senhas
Sobre senhas, existem programas que fazem gerenciamento delas, que inclusive podem ser armazenadas em pen drives. Como funcionam? São mesmo úteis? E, principalmente, são seguros? Teria algum pra nos indicar?
André Valle

André, sinceramente, eu não uso e não vejo utilidade. Acho que essa é uma daquelas coisas que complicam tudo sem nenhuma necessidade. Você pode armazenar suas senhas em um arquivo texto simples no seu computador – nenhum vírus vai saber qual arquivo é esse para roubá-lo.

Em contrapartida, armazenar suas senhas em um gerenciador de senhas significa “avisar” a um código ou invasor que é ali que estão suas senhas – todas elas. Se houver alguma falha no programa ou alguma forma de capturar as senhas armazenadas – por exemplo, por um aplicativo ladrão de senhas que vai registrar a senha mestra que você digitar no software -, você perdeu tudo.

Se você esquecer a senha mestra, também. Perdeu tudo.

Em outras oportunidades, esta coluna já recomendou que as senhas fossem anotadas, sim. E isso pode ser feito em um arquivo no seu computador ou em papel. O importante é manter esse arquivo seguro e estar sempre pronto para alterar as senhas quando houver necessidade. Não guarde senhas importantes no mesmo lugar que senhas de menor importância.

Se um gerenciador de senhas possui alguma conveniência que você acha interessante – por exemplo, para não precisar armazenar as senhas no navegador, o que é muito mais inseguro -, você até pode utilizar. Para quem tem centenas de senhas, usar um gerenciador também pode ser mais conveniente.

Um software legal, gratuito e de código aberto é o KeePass. Vale a pena testar, se você realmente quer um software para gerenciar suas senhas.

>>> Histórico do navegador
As senhas dos emails ficam gravadas no histórico do navegador? Tem como um hacker conseguir elas através do navegador?
Rony

O histórico do navegador apenas guarda os endereços que você visitou. Em geral, isso significa que a senha não será armazenada no histórico. Porém, em alguns casos, quando o site tem um erro de programação, a senha ou, ainda, o que se chama de uma URL de sessão, pode ficar armazenada no histórico. Se o site não gerenciar corretamente a URL de sessão, ela poderá ser usada para acessar seu perfil.

Em geral, como os serviços de webmail são mantidos por grandes portais, esse tipo de erro é bastante raro ou não fica por muito tempo no ar.

Porém, existem ainda outros dois detalhes. O primeiro é a opção de “armazenamento de senha” do navegador de internet. Essa opção, como o nome sugere, armazena as senhas digitadas para facilitar o acesso. Alguns computadores públicos são configurados de forma maliciosa para armazenar automaticamente todas as senhas digitadas. É importante ter cuidado com isso.

E, finalmente, além do histórico, o navegador também o recurso de cache. O cache é um arquivo temporário com as páginas visitadas – ou seja, o conteúdo da página em si. Isso significa que todos as mensagens de email que você leu estarão no cache do navegador.

Depois de utilizar um computador público, é imprescindível que o histórico e, principalmente, o cache e as senhas armazenadas sejam apagadas. Aliás, hoje é mais fácil usar diretamente o “modo anônimo”, “Incognito” ou “InPrivate” (dependendo do navegador utilizado). Esse modo automaticamente não deixa registros na navegação.

>>> Segurança do navegador
Eu sou usuário do Mozilla Firefox, mas gostaria de saber enquanto aos navegadores Chrome, Opera, etc - se eles são navegadores seguros.
Eskylo

Eu uso o Chrome, Eskylo. Mas não é porque o navegador em si é mais seguro – embora ele seja, segundo alguns especialistas. A melhor função de segurança do Chrome é a atualização automática que traz também a versão mais nova do plugin do Flash.

Os ataques mais comuns hoje atacam não o navegador, mas os plugins, principalmente o trio Flash, Java e PDF. Eu navego sem Java e sem PDF (mesmo no Chrome, que possui um leitor embutido). Portanto, minha única preocupação passa a ser o Flash, que, graças ao recurso de atualização do Chrome, sei que está sempre atualizado.

A atualização automática do Flash não funciona muito bem e depende do navegador que você utiliza. De qualquer forma, será preciso sempre verificar se você está com a versão mais nova do Flash e imediatamente instalá-la. O mesmo vale para o plugin do PDF e o Java – e isso vale para todos os navegadores.

Essa é a principal preocupação de segurança nos navegadores de internet hoje, independentemente de qual você utilizar. Como falei, meu uso do Chrome é por conveniência – assim não preciso me preocupar com um dos problemas, e elimino os outros dois.

Se você não tiver os plugins atualizados, poderá ser infectado por uma página de internet em qualquer navegador.

A coluna Segurança Digital desta quarta-feira vai ficando por aqui, mas semana que vem tem mais. Então deixe sua dúvida, crítica ou sugestão na área de comentários – elas também podem ser respondidas na coluna! Até a próxima!