Todos nós sabemos das inúmeras utilidades da internet, mas também sabemos dos seus inúmeros perigos: disseminação de vírus, clonagem de sites, roubo de perfis em redes sociais, etc. Aqui vou ensinar como utilizar recursos de segurança disponíveis para todos na internet, inclusive alguns recursos do facebook. Antes de prosseguir é aconselhável que leia o artigo sobre criptografia RSA disponível neste link:
criptografia RSA.
Autoridade Certificadora:
Uma Autoridade Certificadora (AC) é uma empresa ou órgão público que possui autoridade para certificar a identidade de um site na internet. Por exemplo, quando você entra no site de um banco, a AC permite ao site provar que é realmente pertencente ao banco, e não um clone do site verdadeiro, feito por criminosos para capturar suas informações pessoais. Essas ACs recebem essa autoridade de ACs superiores, e também podem passar sua autoridade para ACs inferiores. Isso é chamado de "cadeia de certificação" ou "cadeia de certificados". Lá em cima, no topo da cadeia, está a Autoridade Certificadora Raiz (AC-Raiz), que certifica a si mesma, não precisando receber certificação de uma AC superior. A AC-Raiz do Brasil é a ICP-Brasil (Infraestrutura de Chaves Públicas do Brasil) ligada ao governo federal.
Código Hash:
O código hash é um código gerado a partir de uma mensagem que deve ser enviada a um destinatário, para garantir que a mensagem não seja alterada no caminho entre o remetente e o destinatário. Garante assim que a mensagem não foi alterada intencionalmente ou por erro na transmissão. Um algoritmo secreto é utilizado pelo remetente para gerar o código hash a partir da mensagem a ser enviada.O código hash é então enviado junto com a mensagem. O destinatário usa esse mesmo algoritimo para gerar um código hash a partir da mensagem recebida, e compara esse código hash com o código que veio na mensagem. Se os códigos forem diferentes significa que a mensagem foi alterada no caminho entre remetente e destinatário. Por exemplo: você quer enviar o número 155, e utiliza um algoritmo de geração de hash que multiplica por 3 cada digito do número acima. O hash gerado portanto é 31515. Quem recebe a mensagem, utiliza o mesmo algoritmo para gerar um hash; se obter o hash 31515, o número 155 não foi alterado no caminho. Esse é um algoritmo bem simples de exemplo, na realidade são utilizados algoritmos complexos.
Assinatura digital:
Sabemos que na criptografia RSA há duas chaves correspondentes, uma pública e uma privada. Uma informação criptografada com a chave pública só pode ser descriptografada com a chave particular, e vice-versa. Por exemplo: você fornece a sua chave pública para um amigo. Esse amigo utiliza essa chave para criptografar uma mensagem enviada a você. Assim, só você que possui a chave privada consegue descriptografar essa mensagem. Para cada chave pública só há uma chave privada correspondente e vice-versa. Uma assinatura digital é um código hash criptografado com uma chave particular. Por exemplo: se você fornece a sua chave pública a um amigo, e envia uma mensagem para ele contendo código hash criptografado com sua chave privada, ele descriptografa, com a chave pública que você forneceu a ele, o código hash que foi na mensagem, e calcula esse código hash novamente. Se os dois códigos forem iguais isso significa que quem mandou a mensagem foi você mesmo (o único que tem sua chave privada, correspondente a chave pública utilizada pelo seu amigo), garantindo assim a identidade do remetente. Também significa que a mensagem não foi alterada no caminho, como visto anteriormente. Portanto a assinatura digital garante a identidade de quem enviou a informação, a integridade dos dados, e não permite que o remetente negue o envio da mensagem.
Certificado digital:
Arquivo que contem informações sobre o dono do certificado. Essas informações são comprovadas pela assinatura digital de alguma AC (Autoridade Certificadora) presente no certificado. Também há chaves de criptografia.
Como verificar se um site é confiável:
Todo site sério precisa comprar um certificado digital de uma AC (Autoridade Certificadora). Esse certificado tem prazo de validade e precisa ser comprado novamente de tempos em tempos. Uma AC também pode revogar um certificado digital, se forem descobertas fraudes no site, por exemplo.
Cada navegador de internet vem com uma lista de ACs ativas no mundo. Com isso, através da assinatura digital que a AC coloca no certificado vendido a um site, e através do mecanismo de troca de chaves RSA entre navegadores e ACs, um navegador consegue identificar se o certificado foi realmente vendido ao site por uma AC. Essa AC, por sua vez, é responsável por garantir que o site pertence a uma empresa séria, ou seja, é responsável por garantir que as informações de identificação da empresa presentes no certificado são verdadeiras.
Se a assinatura no certificado do site não for de nenhuma AC conhecida o navegador de internet mostra um aviso ao usuário.
O certificado digital também permite a criptografia das informações no caminho entre o seu computador e o site da internet, não permitindo que seus dados sejam interceptados por pessoas mal intencionadas.
O protocolo de transferência de páginas web entre a internet e o seu computador é o HTTP (Hiper-Text Transfer Protocol - Protocolo de Tranferência de Hiper-Texto). Um protocolo é um conjunto de regras padrões e rígidas para a transferência de informações em redes de computadores. Também existe o HTTPS (HTTP Seguro). É esse HTTPS que utiliza os certificados digitais para garantir a identidade dos sites e a criptografia das informações, como dito anteriormente.
Todo endereço de site começa com uma dessas duas siglas: http://www... ou https://...
O site somente tem a identidade confirmada e as trocas de informações criptografadas, ou seja, o site somente é seguro se o endereço começar com https://...
O "s" no final significa "seguro". Observe que se a assinatura digital da AC no certificado não for válida, ainda assim o certificado permite a criptografia da conexão, mas o navegador mostra uma mensagem dizendo que o certificado não é válido. Quando o site é totalmente seguro (autenticidade e criptografia) também aparece o desenho de um cadeado na barra de endereços do navegador. Clicando nesse cadeado você pode ver informações sobre o certificado do site. Veja na figura abaixo:
Segurança no facebook:
O facebook, sendo um site sério, também possui seu certificado digital. Mas há um grande perigo: alguém se apropriar da sua conta, e falar com seus amigos como se fosse você. Abaixo algumas dicas preciosas de segurança nessa rede social:
- Em computadores públicos nunca marque a caixa de seleção "Permanecer conectado", porque se essa opção for marcada não é mais necessário digitar nome de usuário e senha para acessar sua conta naquele computador. Ou seja, a pessoa que for usar o computador depois de você, quando acessar o endereço www.facebook.com vai entrar direto em sua conta, podendo se passar por você.
- Em computadores públicos sempre clique em "Sair" no menu do site quando terminar de usar. Ou então feche o navegador onde o facebook estava aberto.
- Na opção "Segurança" da página "Configurações" do facebook ative as opções "Alertas de login" para receber um alerta quando alguém se conectar a sua conta de um computador ou navegador diferente, e a opção "Aprovações de login" para receber um código em seu celular quando alguém se conectar a sua conta de um computador ou navegador diferente. Esse código precisa ser digitado no facebook para se ter acesso a sua conta. Com essas opções você evita que alguém consiga roubar a sua conta. Observe que para trocar o número de celular cadastrado na conta, o impostor também vai precisar digitar um código que foi enviado somente para o celular do dono verdadeiro da conta.
As dicas 1 e 2 servem para qualquer site.
Ainda há outras opções de segurança no facebook. Você pode utilizar todas se quiser.
E sempre tenha um bom antivírus atualizado no computador.
