Unidade 1: Aceder a conteúdos remotos em ambientes desconhecidos
Qualquer acesso a conteúdos remotos, quer sejam publicados online ou armazenados numa máquina privada ligada a uma rede, implica que os pedidos e eventuais dados de autenticação sejam transmitidos através de redes de comunicação de dados juntamente com o próprio conteúdo visado. Este conteúdo, por sua vez, pode ser privado e conter informações sensíveis. Para um acesso seguro, é necessário que todos os elementos da rede, que consistem em ligações de dados e dispositivos de controlo de tráfego, pertençam a entidades de confiança e sejam geridos por elas. É o caso quando estamos a utilizar a rede da nossa própria empresa ou quando utilizamos um fornecedor de serviços Internet com o qual temos um contrato legal de prestação de serviços.
Se um ponto da rede for comprometido, pode ser explorado para espiar os dados que passam por ele (um processo conhecido como “sniffing the network”) e obter e armazenar informações relevantes. Além disso, isto pode ocorrer sem que a pessoa que estabeleceu essa ligação de dados se aperceba do que está a acontecer. Não há sinais visíveis para o utilizador. De facto, os fornecedores de serviços realizam procedimentos como este, mas sem espionagem, para medir o desempenho da rede e garantir uma qualidade de serviço adequada.
Exemplo prático
Considere o caso de Pat, que está a viajar para o estrangeiro e quer verificar o seu e-mail enquanto espera no aeroporto. Há várias redes disponíveis, algumas das quais são de acesso livre, e Pat pergunta-se se pode utilizar uma delas para poupar algum do seu plano de dados do smartphone para utilização posterior. Na lista de pontos de acesso Wi-Fi disponíveis, Pat encontra duas ou três marcas conhecidas. São de confiança?
A atitude mais segura para a Pat é utilizar o plano de dados contratado para se ligar à Internet. Mesmo que o limite de dados esteja quase esgotado, pode haver Wi-Fi disponível mais tarde no hotel e o limite de dados pode ser guardado para essa altura. Se esta não for uma opção, o melhor é comprar um acesso Wi-Fi temporário ou verificar se o aeroporto oferece acesso Wi-Fi. A Pat também pode optar por uma rede Wi-Fi gratuita de marcas conhecidas, como as empresas de telecomunicações. O ponto-chave nestes últimos casos é garantir que o acesso Wi-Fi gratuito é das empresas oficiais e não de outra pessoa. Tenha em atenção que os indivíduos com intenções maliciosas fazem-se muitas vezes passar por marcas conhecidas para atrair potenciais vítimas. A Pat deve colocar a si próprias as seguintes questões:
- O serviço (gratuito) está a ser publicitado pela marca (aeroporto, empresa de telecomunicações, etc.)? Normalmente, as marcas publicitam a disponibilidade dos seus serviços tanto para fins de marketing como para garantir aos utilizadores que é seguro utilizar o seu serviço. Se a Pat não encontrar qualquer publicidade ao serviço, o melhor será ignorá-lo ou procurar alguém a quem possa perguntar sobre a sua legitimidade.
- O sinal é estável e está disponível em vários locais? Quanto mais estável e difundido for o sinal, menos provável é que provenha de fornecedores fraudulentos, uma vez que isso levantaria mais suspeitas entre as pessoas que conhecem a zona.
- Tenho de aceder ou fornecer informações sensíveis? Em todos os casos, mas especialmente quando utilizar a Internet em locais desconhecidos, certifique-se de que, se for pedida uma palavra-passe, esta é feita através de uma ligação SSL, como https. É ainda melhor não utilizar palavras-passe, mas sim fichas de autenticação. Este é o procedimento padrão em software moderno e atualizado, seja num computador ou num telemóvel, como os clientes de e-mail. Por conseguinte, é preferível utilizar clientes de e-mail a utilizar a página de início de sessão no portal do serviço de e-mail.
