Dicas de Segurança em Tecnologia

Atualmente milhões de empresas gastam fortunas comprando programas de segurança, anti-vírus, equipamentos contra cyber-attacks, entretanto, uma grande parte destas mesmas empresas cometem erros comuns por deixar vulnerabilidades abertas em seus sistemas. Explorarei aqui 4 tópicos de segurança que considero básicos e que todos os clientes WeBizz, Empresas, especialmente leigos devem tomar conhecimento.

  1. Certificado SSL
  2. Senhas burras (RDP – Remote Desktop Protocol / Really Dumb Passwords)
  3. Usando um gestor de senhas (KeepassX)
  4. Como não cair em fraudes de cartão de crédito

Certificado SSL

Se tratando de segurança online, SSL é um termo conhecido, o que muitas empresas e pessoas normalmente confundem é quando ou não se é necessário obter um certificado SSL e qual certificado é apropriado para você. Se você não está familiarizado com o termo, um certificado SSL é utilizado em conjunto com um servidor e um sistema web, canalizando todos os dados que são transportados dentro de um túnel criptografado, basicamente, SSL permite empresas processarem cobranças e pagamentos, bem como armazenar, receber, enviar dados de forma criptografada.

Preciso de um Certificado SSL?

Bom, primeiramente você precisa saber qual é o seu negócio online? quais dados você transaciona online? Você está armazenando dados confidenciais de pessoas no seu sistema?

Quem NÃO precisa de certificado:

  • Sites comuns e básicos, estes, não armazenam dados pessoais de clientes, dados de cartões de crédito.
  • Lojas virtuais pequenas que utilizam provedores de pagamento como pagseguro, paypal e semelhantes, pois estes provedores possuem SSL próprio e todos os dados financeiros e pessoais dos clientes são protegidos por estas empresas.

Quem PRECISA do certificado:

  • Todos os websites que armazenam dados de cartão de crédito, dados confidenciais, dados de pessoas e clientes.
  • Todas as lojas de médio-grande porte que mesmo que utilizem provedores de pagamento, possuem uma grande base de clientes cadastrados.

Porém, um certificado de segurança não garante 100% de segurança online, pois ele não protege você contra outros tipos de ataques, como ataques de DDoS (Ataque de negação de serviço / Ataque Distribuido…), se presenciar comportamentos estranhos em sua loja ou website, contate uma empresa ou pessoa especializada para identificar quais tipos de ataque está sofrendo.

Senhas Burras (RDP – Really dumb passwords)

Este bloco, estou me baseando em um artigo do Krebs no site KrebsOnSecurity, que é um dos especialistas em segurança que mais admiro. Really dumb passwords se traduz em “Senhas realmente burras”, para obter uma visão mais detalhada neste assunto acesse o artigo “Hacked via RDP

RDP é um trocadilho de “Really Dumb Password” com o RDP do Windows que é “Remote Desktop Protocol” que se traduz Protocolo de Acesso Remoto, este é um programa que já vem por padrão com Windows e permite que seu computador seja acessado remotamente, para abrir, clique no menu iniciar e digite Remote Desktop Connection ou “Conexão de Área de Trabalho Remota”. Existem online alguns sites que vendem serviços contendo acessos via RDP, estes sites vendem cada acesso numa média de 6 a 10 dólares dependendo da configuração e qualidade da máquina. Para ativar ou desativar o RDP acesse este link aonde você encontrará instruções detalhadas de como desabilitar e usar este serviço. Se seus computadores estão online, lembre-se de que uma má configuração do RDP junto com uma senha imbecíl no login do Windows é realmente algo perigoso e comumente explorado.

Usando um Gestor de Senhas

Aqui vou sugerir a utilização de um software gratuito e muito seguro para você armazenar suas senhas, KeePass é um programa que permite você ter de lembrar apenas de 1 senha, e ter acesso a todas as suas outras senhas. Além, este programa facilita a criação de senhas geradas, por exemplo Xs5AD_=$v0-1, esta é uma ótima senha pois ela usa vários niveis de complexidade, entretanto é impossível de lembrar.

Recomendações no uso do KeePass e gestão de senhas

  • Guarde seu arquivo (banco de dados) de senhas dentro de um lugar seguro como Dropbox.
  • Se guardou no dropbox lembre que caso você reinstale seu sistema, você precisará lembrar sua senha do dropbox
  • Crie senhas com letras minusculas, maiúsculas e números.
  • Tenha uma senha fácil de memorizar para a maioria dos sites que você se cadastra.
  • Troque sua senha a cada 6 meses nos cadastros críticos como contas de e-mail, e seus acessos mais preciosos.

Com KeePass você pode andar com suas senhas em um pendrive para todo lugar, mesmo que você seja roubado, ou um hacker consiga ter acesso ao seu arquivo de senhas, a criptografia do KeePass utiliza um dos mais altos padrões de segurança. Por outro lado, seja MUITO cauteloso com sua senha principal, pois se você esquecer, não conseguirá abrir novamente.

Como não cair em fraudes de cartão de crédito

Fraudes de cartão de crédito online caiu significativamente nos últimos 5 anos, a maioria das pessoas e empresas já tomaram conhecimento de como funciona o SSL e como identificar uma transação protegida via SSL, sempre que for comprar online, procure o certificado (cadeado na barra de endereço).

No Brasil, a prática de skimmers bem feitos e elaborados não é tão ativa como nos estados unidos, mas cada vez mais aparecem novas formas e novos golpes de cartão de crédito. O golpe mais utilizado no Brasil é na maquineta, sempre que você for pagar sua gasolina ou for em algum estabelecimento aonde o funcionário fez questão de segurar a maquineta pra você, desconfie, nunca se sabe quando esta pessoa pode ter contatos com laranjas para repassar os dados do seu cartão.

O golpe mais robusto no momento são os skimmers, acredite, existem pessoas (muitas) que estão vivendo de dar golpes de cartão e são verdadeiros especialistas, financiam massivamente a experimentação e prática do mesmo. Skimmer é uma interface igual ao painel do seu caixa eletrônico, sempre que for utilizar cartão em caixas eletrônicos que estão posicionados em lugares não convencionais como no meio da rua ou num parque, puxe com força moderada o leitor de cartão, se não sair e se abrir tudo, você provavelmente está seguro, já foram encontrados casos de caixas eletrônicos inteiros fabricados igual ao ATM original mas que não passam de um verdadeiro chupa-cabra.

Um caixa da ATM completamente falso encontrado em Curitiba em Novembro de 2013

Um caixa da ATM completamente falso encontrado em Curitiba em Novembro de 2013

Conclusão

Se você leu até aqui, muito obrigado, espero que as informações tenham sido úteis, e se você continua com dúvidas ou precisa de consultoria especializada para identificar ataques ou direcionar soluções em sua empresa, estamos prontos para atendê-lo.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *