Comentário posterior ao texto original: a 14 de Janeiro de 2025 publiquei o artigo “Como partilhar e arquivar informação confidencial, (ex. credenciais).“, que complementa este.

Já vos expliquei o motivo principal pelo qual uso e recomendo o Mozilla Firefox: porque a Mozilla é uma fundação sem fins lucrativos que trabalha para garantir que a Internet permanece um recurso público, aberto e acessível a todos.

Ao contrário da Google, da Microsoft ou da Apple, fabricantes dos browsers mais conhecidos, a Mozilla não tem qualquer interesse em conhecer o meu "perfil" como utilizador, para me vender produtos, serviços, ou publicidade.

Mas há outro produto Mozilla a que dou imenso valor, e que também recomendo vivamente: o Mozilla Monitor, que alerta os utilizadores se as suas credenciais ou informação sensível forem comprometidas em incidentes de segurança públicos registados no precioso projecto "Have I Been Pwned?".

Por exemplo, o Mozilla Monitor acaba de alertar-me para (mais um) problema de segurança no LinkedIn, e parece que alguns dos meus dados privados foram capturados. Nada que não tenha antecipado, ao introduzi-los na plataforma.

Eis algumas dicas simples para evitarem "problemas de segurança", ou para mitigarem as suas consequências:

• Quando em mobilidade, favoreçam ligações móveis 3G/4G em vez de se ligarem a hot spots públicos Wi-Fi. É relativamente fácil criar um hot spot público com o nome do restaurante, café, biblioteca, aeroporto, etc.. e inspeccionar as ligações não cifradas que por ele passem, capturando informação sensível, como palavras-chave. Também é fácil reencaminhar os pedidos efectuados a websites bem conhecidos para substitutos falsos, para capturar as credenciais introduzidas nesses websites;

• Certifiquem-se que a transmissão de dados no browser, no correio electrónico e nas aplicações com informação confidencial é segura. Os navegadores modernos apresentam algum tipo de alerta junto da barra de endereço, caso contrário (ex. um cadeado aberto ou riscado, uma exclamação num triângulo, ou mesmo a palavra "Inseguro"). Os clientes de correio electrónico devem usar versões seguras dos protocolos de transmissão (SMTP, IMAP e POP), com cifra TLS ou SSL;

• Certifiquem-se que estão a aceder mesmo ao serviço que pretendem, e não a qualquer website com um endereço "parecido", que se tenta fazer passar pelo original. Os bons antivírus mantêm listas de websites suspeitos, e bloquearão o acesso a eles;

• Protejam as vossas contas com credenciais fortes, sempre que possível com autenticação multi-factor (ver https://en.wikipedia.org/wiki/Multi-factor_authentication e https://brainstation.io/cybersecurity/two-factor-auth), ou superior;

• Mais cedo ou mais tarde, inevitavelmente, as vossas credenciais acabarão por ser conhecidas quando um dos serviços que usam for comprometido. Certifiquem-se que essas credenciais só são válidas para esse serviço. Usem credenciais diferentes em cada site/serviço, para que um incidente no LinkedIn, por exemplo, não resulte no acesso a todos os serviços que usam, incluindo outras redes sociais, correio electrónico, etc… (e, após acedido o correio electrónico, e acompanhadas algumas interacções comerciais, o cliente não receba instruções sobre novas coordenadas bancárias para onde enviar o pagamento da encomenda);

• Registem as várias credenciais num repositório seguro, e que vos simplifique a autenticação no quotidiano. Uso e recomendo o KeePass 2.x para isso;

• Nunca transmitam informação sensível por canais não cifrados, ou cuja cifra está nas mãos de terceiros (ex. correio electrónico não cifrado, SMS, WhatsApp, DropBox, etc...). Internamente na empresa transmitimo-la recorrendo ao Signal, e o envio de credenciais para os clientes é feito de forma efémera, ie, as mensagens só podem ser acedidas uma vez, e expiram ao fim de pouco tempo, se não forem acedidas;

• Simplesmente não publiquem informação que não tolerem ver acedida de forma não autorizada, ou divulgada publicamente. Nenhum sistema é totalmente seguro;

• Não usem software pirata. Muito desse software contém malware capaz de registar as teclas pressionadas no teclado, activar discretamente o microfone e câmara, analisar a lista de contactos no correio electrónico para se propagar, etc... já para não falar na possibilidade de ficarem reféns de ransomware, que cifra a vossa informação, "prometendo" o acesso a ela apenas em troco de uma qualquer verba. Caso não possam pagar as licenças do software proprietário, existem excelentes alternativas Open Source, gratuitas, e uma comunidade de utilizadores e programadores disposta a ajudar;

• Para olhos não treinados, o aparente remetente de uma mensagem de correio pode não ser efectivamente quem a enviou: pode ser falsificado;

• Não abram anexos de mensagens enviadas por desconhecidos. Suspeitem de qualquer tipo de anexos, mesmo que enviados por conhecidos. Façam download de conteúdos apenas de origens confiáveis. Um bom antivírus irá alertar-vos se encontrar malware nesses conteúdos;

• Usem métodos de pagamento electrónico com protecção contra fraude, nas vossas compras electrónicas. Pessoalmente uso e recomendo o PayPal;

• Comportem-se nas redes sociais da mesma forma que o fazem na vida real. Se um desconhecido vos "pedir amizade" ou "ligação" na rua, facultam-lhe a vossa morada e telefone, convidam-no para almoçar com a família, mostram-lhe fotos dos filhos ?

  Invistam tempo (não precisam de dinheiro, na Web encontram toda a informação que necessitam gratuitamente) para melhorarem a vossa literacia sobre "navegação segura na Internet", "privacidade e segurança nas redes sociais", "compras seguras na internet", "segurança no correio electrónico", etc...

  Entendam que o melhor investimento em informática é: uma solução de cópias de segurança fiável, um bom antivírus, bom senso e literacia.