procedimento de práticas recomendadas para uso do navegador em WiFi não seguro

Question 1

Ao usar uma rede não segura, o HTTPS não oferece proteção contra um invasor experiente, especialmente para sites que usam HTTP e HTTPS.

Aqui está um exemplo: quando você digita facebook.com na barra de endereço, você está na verdade iniciando uma conexão HTTP. O site então redireciona você para uma página HTTPS. No entanto, um invasor, colocado adequadamente entre você e o facebook.com, pode modificar esse redirecionamento HTTPS em um redirecionamento HTTP e roubar suas senhas, ou até mesmo injetar malware na resposta do site e infectar seu computador.

O que você pode fazer para evitar essa situação é digitar em https://www.facebook.comvez de facebook.com. Outra coisa que você pode fazer é manter a página HTTPS do facebook.com marcada e usá-la em vez de digitar.

Usar o navegador para verificar as credenciais do site é um teste muito bom, mas muitos sites populares viram recentemente suas credenciais roubadas ou falsificadas. Os hackers também podem usar credenciais para nomes de sites que são muito semelhantes aos nomes dos sites que alguém está tentando acessar, que uma inspeção casual não detectará.

Mesmo o tráfego HTTPS puro pode ser atacado e quebrado. Um panteão inteiro de hacks foi introduzido nos últimos anos e leva nomes comoCRIME,FERA,Sorte 13,SSLStripeVIOLAÇÃO.

Usando o que é conhecido comotécnica oráculo, os invasores podem usar a compactação para obter pistas cruciais sobre o conteúdo de uma mensagem criptografada. Isso ocorre porque muitas formas de criptografia, incluindo aquelas encontradas em HTTPS, fazem pouco ou nada para impedir que os invasores vejam o tamanho da carga criptografada. As técnicas de compactação Oracle são particularmente eficazes para descobrir pequenos pedaços de texto no fluxo de dados criptografados, como senhas (!).

É importante entender que o invasor só precisa observar os pacotes HTTPS conforme eles passam pela rede, o que ele pode fazer facilmente em uma rede não segura instalando umfarejador.

Embora nenhum dos ataques tenha minado completamente a segurança proporcionada pelo HTTPS, eles destacam a fragilidade dos protocolos SSL e TLS de duas décadas, e até mesmo das bibliotecas de software usadas para criptografia HTTPS.

O uso de VPN oferece melhor proteção, mas desde que um invasor consiga observar o tráfego que passa entre o seu computador e a rede, você não estará absolutamente seguro.

Embora cada uma das medidas descritas acima melhore a segurança, não há garantia de proteção contra um invasor que tenha recursos suficientes ou que possa até usar um método de ataque ainda desconhecido. Especialistas em segurança e navegadores estão sempre um passo atrás dos hackers.

A prática recomendada é não inserir informações confidenciais, como senhas, em uma rede não segura. Mesmo quando as credenciais são passadas comobiscoitos, como é o caso quando um site oferece a opção de “lembrar” o logon, um invasor que intercepte a mensagem da rede pode extrair facilmente esses cookies.

Uma ferramenta que pode detectar quando HTTPS é interceptado e impedir que você insira suas credenciais a tempo é o FirefoxComplemento Perspectivas. No entanto, ele não pode proteger contra a descriptografia do HTTPS por meio de um sniffer.

Perspectivas são descritas como:

Perspectives é uma abordagem nova e descentralizada para identificar com segurança servidores da Internet. Ele cria automaticamente um banco de dados de identidades de servidores usando sondagem leve por “notários de rede” – servidores localizados em vários pontos de vista na Internet. Cada vez que você se conecta a um site seguro, o Perspectives compara o certificado do site com os dados do notário da rede e avisa se houver uma incompatibilidade. Desta forma você sabe se um certificado deve ser confiável! O uso do Perspectives evita ataques "man-in-the-middle", permite usar certificados autoassinados e ajuda você a confiar que suas conexões são realmente seguras.

Answer