terça-feira, 2 de julho de 2013

A tentação das redes Wi-Fi abertas e os riscos para seus dados

Ninguém resiste a um Wi-Fi público, especialmente para mandar um email urgente para o escritório. Entenda os riscos e aprenda a evita-los.


Você provavelmente já leu ao menos um artigo alertando para os perigos inerentes ao uso de uma conexão Wi-Fi pública, então sabe que os malfeitores são capazes de interceptar as informações que trafegam por estas redes. É relativamente fácil capturar informações “sensíveis” trafegando na vasta maioria dos hotspots públicos - em locais como cafés, restaurantes, aeroportos e hotéis, entre outros, e obter endereços de e-mail, senhas e ler mensagens não criptografadas, e até se apossar de informações de login em sites populares.
Mas não há forma mais eficiente de entender o perigo do que presenciar uma interceptação em tempo real. Portanto, fui até um café na minha vizinhança disposto a “bisbilhotar” para ver o que conseguiria encontrar. Minha intenção não era “hackear” o computador ou smartphone de ninguém - isso é ilegal. O que fiz é similar a escutar a conversa entre dois radioamadores ou pessoas usando um walkie-talkie na vizinhança. Assim como estes aparelhos, as redes Wi-Fi operam em frequências de rádio públicas que podem ser “sintonizadas” por qualquer um nas proximidades
Ao chegar no café abri meu notebook e comecei a capturar os dados trafegando pela rede Wi-Fi, tecnicamente chamados de “pacotes”, usando uma versão de demonstração gratuita de um software para análise de redes Wi-Fi. Os pacotes surgiam na minha tela em tempo real, muito mais rápido do que eu poderia ler, então parei a captura após alguns minutos pra ver o que havia “caído na rede”.
Primeiro procurei por pacotes contendo código HTML, para ver quais sites os outros usuários do hotspot estavam visitando. Embora eu tenha visto atividade dos outros clientes, não capturei nada muito interessante. Então visitei meu próprio site, www.egeier.com, em meu smartphone. Os pacotes “brutos” com código HTML pareciam “lixo”, mas o analisador de rede foi capaz de reconstruir a informação e exibí-la como uma página web comum. A formatação estava um pouco errada, e algumas imagens estavam faltando, mas ainda assim o resultado continha informação suficiente.
Ao usar meu notebook para me conectar ao meu próprio servidor FTP, consegui capturar os pacotes contendo meu nome de usuário e senha. Detalhes que permitiriam que qualquer malfeitor nas redondezas ganhasse acesso ilimitado aos meus sites.
Os computadores não são os únicos adequados a esse tipo de espionagem. Também rodei um app chamado DroidSheep em um smartphone Android com “root”. Este app pode ser usado para ganhar acesso a contas em serviços web populares como o GMail, LinkedIn, Yahoo e Facebook.
Felizmente há formas de proteger sua atividade online enquanto você está por aí com seu notebook, tablet ou smartphone. Veja algumas para se manter seguro

1) Sempre que fizer login em um site, certifique-se de que a conexão é criptografada. A URL da página de login deve começar com HTTPS em vez de HTTP.

2) Certifique-se de que a conexão continue sendo criptografada durante toda a sessão. Alguns sites, entre eles o Facebook, criptografam o login mas depois lhe redirecionam para uma sessão insegura, deixando-o vulnerável às práticas que já descrevemos.

3) Muitos sites lhe dão a opção de criptografar toda a sessão. No Facebook você pode fazer isso habilitando o item Navegação Segura em Configurações de Segurança. Uma boa forma de garantir estes três primeiros itens é usando uma extensão para o navegador como a HTTPS Everywhere da Electronic Frontier Foundation, que força automaticamente o uso de conexões HTTPS sempre que possível.
4) Ao checar seu e-mail, faça o login usando o navegador e certifique-se de que a conexão é criptografada. Se você usa um cliente de e-mail como o Outlook, verifique as configurações veja se a criptografia está habilitada nas contas POP3, IMAP e SMTP.
5) Nunca use o FTP, ou outros serviços que você sabe que não são criptografados
6) Para criptografar sua navegação web e outras atividades online, use uma VPN (Virtual Private Network - Rede Virtual Privada).

Nenhum comentário:

Postar um comentário