Imagine isto: você está em um café com seu laptop em uma mão e uma xícara de espresso na outra, pronto para analisar os contratos de alguns novos clientes e as projeções de lucro de sua empresa para o trimestre. Mas antes você se conecta à rede Wi-Fi gratuita oferecida pela loja. Em seguida, liga seu notebook a um projetor para que todos os clientes possam ver seus documentos, e entrega cópias impressas das especificações confidenciais de seu novo produto para que todo mundo possa acompanhar.
Pode parecer ridículo, mas se você está usando uma rede Wi-Fi aberta sem as devidas precauções, está praticamente convidando seus colegas de mesa a dar uma olhada nas informações confidenciais de sua empresa.
Nada é privado em uma rede Wi-Fi aberta
Hoje em dia a maioria dos usuários sabe como (e porque) proteger seus roteadores wireless domésticos. O Windows 7 e o Windows Vista até exibem um alerta quando você está conectado a uma rede sem criptografia, ou seja, completamente aberta.
Em um café, saguão de aeroporto ou biblioteca, entretanto, as pessoas frequentemente se conectam sem pensar duas vezes -- e embora usar uma conexão aberta para ver os resultados do último jogo de futebol de seu time ou a previsão para seu vôo seja aceitável, ler e-mail ou fazer qualquer atividade na web que exija um login e senha é equivalente a usar um megafone no meio de uma multidão.
Em casa, tudo o que você tem que fazer é configurar o roteador uma vez, dizer a senha para seus familiares e surfar sem preocupação deitado no sofá ou numa espreguiçadeira à beira da piscina. Mas em um café, o atendente teria de dizer a cada funcionário a senha (ou chave WEP equivalente, com 26 caracteres) -- definitivamente um trabalho que ninguém gostaria de fazer. Nesses casos, nada é melhor que uma senha em branco para facilitar o uso.
Entretanto, você não está completamente seguro mesmo que a rede esteja criptografada. Uma vez que seu computador conhece a senha, seus dados só estão protegidos contra pessoas que não estão na rede. Todos os outros clientes podem bisbilhotar seu tráfego porque estão usando a mesma senha.
Mas e se você acha que seus dados não são importantes o suficiente para que alguém queira espioná-los? Talvez você esteja só navegando à toa, sem se logar em nenhum sistema de webmail ou outros sites que exijam senha. Nestes casos você está seguro, certo? Não necessariamente.
Imagine que você está usando a conexão Wi-Fi no saguão do aeroporto enquanto volta de uma convenção. Em vez de ler as centenas de mensagens que o aguardam na caixa postal, você decide dar uma olhadinha nos sites dos concorrentes, procurando por idéias. Ou talvez você prefira estudar alguns potenciais alvos para aquisição.
Em segundo plano, entretanto, seu cliente de e-mail detecta uma conexão com a internet e começa a baixar suas mensagens. Um colega no escritório vê seu estado no mensageiro instantâneo mudar para "online" e envia um recado desesperado: "Problemão na fábrica. Possível recall. Chame o João AGORA!".
Armado com nada mais que um software de análise de pacotes, um "viajante" que também participou da conferência e está na mesma área do aeroporto que você pode obter inteligência competitiva baseado apenas na lista de sites que você visitou e nas suas (provavelmente não criptografadas) mensagens instantâneas. Sem falar no e-mail pessoal do RH indicando que você está prestes a mudar de emprego, ou nas notas que relatam seus problemas de relacionamento com sua cara-metade. Em resumo, o "outro cara" está lendo suas mensagens antes mesmo de você, e você não precisou fazer nada.
Use SSL no Webmail
Para combater os xeretas de e-mail começe optando por um sistema de webmail que usa o protocolo HTTPS durante toda a sessão. A maioria dos sistemas de webmail usa HTTPS no momento do login, para que sua senha seja transmitida de forma segura. Entretanto, após a autenticação eles geralmente voltam para o bom e velho HTTP não-seguro porque este protocolo reduz a carga computacional sobre seus servidores, e torna a distribuição de anúncios mais fácil.
Isto significa que todo mundo que estiver na mesma rede sem fios que você (seja não criptografada ou com uma senha compartilhada) poderá ler o conteúdo de seus e-mails. Em alguns casos, uma pessoa pode ser capaz de roubar seu "cookie" de sessão e acessar seu webmail sem saber a senha (ou pelo menos até você clicar no link "Logout". Você faz isso sempre, certo?).
Duas exceções notáveis são o GMail e seu sistema corporativo de e-mail (como o Outlook Web Access). No início deste ano, o GMail abandonou o uso do protocolo HTTPS apenas durante o login e passou a utilizá-lo durante toda a sessão.
Usuários do Google Apps já podiam habilitar esta opção, mas agora ela é o padrão mas pode ser desabilitada (se você odeia segurança). Esta mudança, combinada aos novos algoritmos para detecção de logins suspeitos do Google , fazem do GMail um destaque entre os provedores de webmail gratuito. Se você estava procurando um bom motivo para sair da AOL, Hotmail ou Yahoo!, já o encontrou.
O sistema de webmail de sua empresa também provavelmente usa HTTPS o tempo todo, porque esta é a configuração padrão na maioria dos casos. Entretanto, se você lê seus e-mails do trabalho usando software local (Outloook, Thunderbird e Mail no Mac OS X, por exemplo) em vez do webmail HTTPS, você pode, ou não, estar usando criptografia.
Hotspots pagos: segurança não inclusa
Ao fazer a pesquisa para este artigo, descobri um engano comum entre viajantes e amantes de um bom café. É a idéia de que hotspots comerciais, que cobram taxas de acesso por hora ou por mês, são mais seguros que as redes abertas porque envolvem pagamentos e senhas.
Na verdade estes hotspots raramente usam criptografia, e usam um "portal" apenas para impedir o acesso à internet até que você apresente uma forma de pagamento ou senha de assinante. Embora este "portal" seja geralmente acessado via HTTPs (para proteger a senha e informações do cartão de crédito), uma vez que seu computador é autenticado todo o tráfego circula sem criptografia pela rede sem fio.
Ou seja, aqueles R$ 19,90 mensais lhe dão acesso, mas não segurança. Na verdade, devido à natureza das transmissões de rádiofrequência outra pessoa - mesmo que não seja assinante - ainda pode ver todo o tráfego entre sua máquina e a rede, bastando para isso se conectar a ela.
Isto significa que terceiros podem facilmente observar e capturar quaisquer sites HTTP que você visite, qualquer acesso a e-mail não-criptografado via POP3 e quaisquer transferencias via FTP que você faça. Hackers talentosos podem até mesmo modificar suas interfaces wireless para clonar a identidade de sua máquina, obtendo desta forma acesso grátis através de um hotspot comercial ao "pegar carona" em seus sinais.
Use sua VPN
Se sua empresa oferece uma conexão VPN (Virtual Private Network - Rede Virtual Privada) com acesso à internet, você deve usá-la sempre que estiver conectado a um hotspot, seja ele aberto ou pago. Uma VPN é garantia de que toda sua comunicação é criptografada com cifras de alta segurança e enviada através de um "túnel" pelo hotspot Wi-Fi, através da internet e para dentro do datacenter de sua empresa, onde então é "desempacotada" e encaminhada usando a conexão à internet da empresa.
Esta é uma forma segura de acessar sistemas corporativos (intranet, e-mail, bancos de dados) porque não importa quem mais estiver conectado à rede wireless, você tem uma "estrada particular" até a empresa, inacessível a qualquer outra pessoa.
Tal arranjo pode ser ligeiramente mais lento do que a navegação sem criptografia, mas a segurança extra vale a pena. Além disso, se você estiver viajando para um país que impõe restrições no acesso à internet (como a China ou Egito), você pode enviar seu tráfego por um "túnel" até seu país de origem, e acessar os sites como se estivesse lá.
Se sua empresa não oferece o serviço de VPN ou adota a técnica de "túnel dividido" (onde apenas os acessos à intranet trafegam através de uma conexão segura, e todo o restante do tráfego é enviado diretamente a seu destino), não se preocupe - você ainda pode se proteger.
Experimente o HotSpot Shield, um serviço VPN gratuito da AnchorFree. A empresa oferece seu próprio software de VPN que você instala no notebook antes de usar um ponto de acesso Wi-Fi público.
Depois que você habilita o software e o serviço, ele criptografa seu tráfego e o envia através de um túnel até o data center da AnchorFree, e então para a internet, da mesma forma que o servidor VPN de uma empresa. O HotSpot Shield tem até configurações de VPN para dispositivos móveis (que dispensam a instalação de um programa) para proteger a navegação no iPhone usando o cliente VPN da Cisco fornecido pela Apple.
Ao usar este serviço, sua conexão é segura de seu laptop até o data center da Anchor Free no norte da Califórnia. Uma vez lá, seu tráfego viaja sem criptografia até seu destino final na internet, como se você estivesse navegando com um notebook plugado diretamente à rede da empresa.
Tal arranjo não é completamente seguro, já que o túnel criptografado não se estende até o site que você está visitando. Entretanto, é certamente mais seguro que um arranjo sem VPN nenhuma. Para quebrar a segurança, ladrões de dados teriam de conseguir acesso ao data center da AnchorFree, e não apenas à rede Wi-Fi à qual você está conectado.
Sumário sobre navegação Wi-Fi segura
Recapitulando:
1. Se sua empresa tem uma VPN que você pode usar para navegar na internet, use-a!
2. Se você não pode usar a VPN da empresa, experimente o HotSpot Shield
3. Não pense que acesso pago é sinônimo de segurança
4. Em redes sem fio sem criptografia, qualquer um pode ver o que você está fazendo (exceto em sites HTTPS)
5. Em redes sem fio com senha, qualquer um que a conheça pode ver o que você está fazendo (e isto pode variar de um punhado de pessoas em sua casa a centenas delas em um aeroporto)
6. Se você precisa usar um hotspot Wi-Fi sem nenhuma forma de VPN, imagine que seu notebook está conectado a um telão de um estádio de futebol. Não acesse nenhum site que você não visitaria se tivesse 80 mil pessoas olhando sobre seu ombro.
Fonte: PCWorld/EUA
