Você está seguro na internet?

Paulo Rebêlo | julho.1999

Duas horas da manhã, uma sexta-feira chuvosa. Enquanto todos dormem, você navega entre páginas grotescas e começa a ler sobre assuntos que dificilmente acharia na sua livraria predileta. Luzes apagadas e apenas o brilho do monitor incidindo diretamente nos seus olhos, piorando ainda mais a sua já alta miopía, e aquela sensação de estar imerso, completamente só, em um oceano de informações onde se acha praticamente qualquer coisa. Tão só a ponto de estar com aquele “ceroulão” folgado que você adora e, de vez em quando, visitando aquela página com fotos escondidas da Tiazinha.


Parece o início de algum suspense cômico-cibernético, mas é a rotina de muita gente que gosta de varar as madrugadas navegando na Internet em busca de informação ou entretenimento – com exceção do trecho onde diz “completamente só”.

Será? Você se sente seguro navegando na rede? Eu não. Ainda antes do ‘boom’ da Internet no mundo, quando os primeiros sites comerciais americanos passaram a introduzir o comércio virtual e, consequentemente, a transação comercial via Web, o tema privacidade tem sido foco das principais reportagens e investigações judiciais nos últimos tempos, seja em revistas ou jornais. Alguns chegam a achar exagero da mídia, aludindo ao fato de a imprensa estar se tornando cada vez mais sensacionalista em busca de espectadores. O que não deixa de ser uma verdade, mas meia verdade.

A invasão da privacidade de um cidadão é, na grande maioria das vezes, considerada crime. O que talvez tenha influenciado ou aumentado os problemas sobre o assunto na rede, pode ter sido justamente a falta de um regimento claro e específico sobre o assunto, tendo em vista que ainda hoje a Internet não é popular no Brasil, onde as estatísticas mostram que apesar do crescimento no número de “navegantes” ter sido muito rápido nos últimos 2 anos, esse número ainda é baixo, demograficamente falando.

Se você tentar abrir um processo judicial contra um provedor de acesso, ou até mesmo contra outro usuário, alegando que burlaram sua caixa postal e tiveram acesso à mensagens pessoais, você pode fazer papel de louco frente ao juíz, mesmo com provas concretas em mãos. Pouco a pouco, esse quadro parece vir mudando – ou ao menos tentando ser mudado – mas o processo tem se mostrado mais lento do que o esperado no Brasil.

Imagine que uma empresa que presta serviços de Internet tenha em seu quadro de funcionários alguém que desconheça o significado das palavras “ética profissional”. O funcionário resolve usufruir do acesso que ele possui, para dar uma “averiguada” no seu correio eletrônico da própria casa, à procura de alguma mensagem ou remetente conhecido. A depender dos seus conhecimentos técnicos e das ferramentas que você utiliza no computador, às vezes pode ser possível tomar conhecimento de pequenas invasões. Mas, e daí? Se você, por um motivo ou outro, sabe quem é e resolve denunciar na própria empresa, terá que apresentar provas concretas a fim de despedir tal funcionário, na pior das hipóteses. Feito isso – o que dificilmente você conseguiria – resta torcer para que outros funcionários com acesso às contas dos usuários não resolvam fazer um “corredor polonês virtual” com sua senha. Por outro lado, caso você não tenha provas concretas ou saiba apenas que foi “alguém da empresa”, resta esperar sentado e procurar outra similar empresa ou prestadora de serviços.

Outro detalhe interessante é que seu provedor de acesso sabe praticamente tudo o que você faz quando está conectado. Evidentemente, entre milhares de usuários, você não teria porque se preocupar em ser “sorteado” para ser espionado, até mesmo porque nenhum provedor de acesso (espero eu) adota uma política asssim. Entretanto, não seria a hora de pensar duas vezes antes de alimentar uma “boa amizade” ou, quem sabe, inimizade, com alguém da alta hierarquia do seu provedor de acesso?

É claro, o caso citado acima é apenas a ponta do iceberg. O tema invasão de privacidade (nada a ver com o filme estrelado pela loira) vai muito além de uma simples quebra de senha no correio eletrônico ou curiosidade no que você faz quando está conectado. Ao carregar uma página no seu navegador, muitas vezes você deixa informações que talvez não quisesse, como endereço postal, CEP ou telefone, sem tomar conhecimento do fato. A nível de conhecimento, as ferramentas que possibilitam tal façanha são os chamados “cookies” (biscoitos, em inglês). O bom é que é possível desabilitar o envio de cookies, fazendo uma configuração manual no navegador ou usando programas feitos por terceiros. O ruim é que, cada vez mais, os sites na Web requerem esses pequenos arquivos escondidos, até mesmo para viabilizar recursos recursos extras ao usuário. O que termina não deixando muita opção mesmo…

Existem casos clássicos de violação na privacidade do usuário, mas dois deles são bastante conhecidos e merecem ser citados. O primeiro, como não poderia deixar de ser, tem a ver com a própria Microsoft. Recentemente, a empresa admitiu um “bug” que muitos de nós já conhecíamos há muito tempo. Ao fazer o registro online de sua cópia do Windows, seu computador enviava informações peculiares à empresa, como a árvore de seus diretórios e os programas instalados em sua máquina. A Microsoft admitiu o problema e disponibilizou um arquivo a fim de corrigir o problema. E você acha que todos vão receber esse arquivo em casa, com as devidas explicações?

Já o outro caso, mais recente e bem mais complicado, trata sobre o número de identificação nos novos chips Pentium III, da Intel. Esses números de identificação são únicos em cada chip e trabalham de forma similar ao “bug” do Windows, enviando listas de programas instalados, árvore de diretórios, e outras informações internas do computador à Intel. Quando indagada sobre o assunto, a empresa alegou a inclusão do número a fim de poder prover um suporte técnico mais personalizado e evitar a pirataria de software. O que não deixa de ser uma causa nobre, mas repudiável a partir do momento que a empresa passa a ficar sabendo tudo o que você tem no computador e os sites que você visita na Web.

Outro tema interessante sobre privacidade na rede, é a criptografia de dados confindenciais, muito usado no comércio virtual com cartões de crédito – ato que ainda assusta muita gente e inibe muitas empresas de aumentarem seus lucros no fim do mês. Falaremos melhor sobre isso na segunda parte deste artigo.

PARTE II

Recentemente, abordamos o tema ‘segurança na rede’ e tivemos uma visão geral sobre alguns perigos que o usuário de Internet passa, mesmo sem tomar conhecimento. Provedores de acesso, uso de cookies, segundas intenções por parte de funcionários ou empresas, enfim, muita coisa nos alertando ao fato de que devemos zelar um pouco mais pela nossa privacidade e evitar, ao máximo, trocar mensagens com conteúdo muito particular pela Internet.

Se você ou sua empresa já passaram por problemas envolvendo quebra de privacidade, muitas vezes evitar cookies ou trocar de provedor de acesso não é suficiente. É preciso mais, muito mais. Entretanto, nem sempre o usuário pode dispor de ferramentas profissionais ou filtros internos de rede a fim de tapar buracos na segurança. Principalmente quando este usuário é a maioria, que está por trás de um monitor durante as altas madrugadas sem fazer a menor idéia de quantas pessoas podem saber as páginas acessadas ou ler todos seus emails particulares.

Uma ferramenta simples, ao alcance de qualquer usuário, é o uso de proxies. Antes de falarmos sobre proxies, falemos sobre sua conexão e seu navegador Internet, como Netscape ou Internet Explorer. Ao abrir um site, seu computador pode deixar informações pessoais suas, como versão do navegador, sistema operacional, o provedor o qual está saindo a conexão, seu endereço IP, entre outras. Quem já não entrou numa página onde mostra: “Bem-vindo, você está usando Windows 98 com Netscape Navigator 4.0, a partir pelo endereço xxx.xxx.xxx.x? (onde x é o endereço IP designado pelo seu provedor)

A depender da intenção do site, diversas outras informações podem ser sugadas por ele, como endereço, telefone e cidade. Alguns recursos em CGI podem pegar até seu email sem avisá-lo. Esse tipo de atitude foi abordado também no artigo anterior, quando falamos sobre cookies. Entretanto, não é apenas o site remoto que coleta informações sobre você. A partir do momento em que você conecta a Internet junto ao seu provedor de acesso, tudo o que for feito pelo seu computador também está passando pelo servidor do provedor. Apesar de chato, isso é normal e padrão. À primeira vista, pode parecer que não há como passar por cima. Mas há. Use um proxy anônimo e deixe a ver navios aqueles bisbilhoteiros de tal provedor que lhe conhecem e adorariam saber por onde você tem navegado.

O PROXY – Alguns provedores de acesso oferecem serviço de proxy – entre em contato com o suporte do seu provedor para saber. A atuação dele é simples. Todos os usuários de determinado provedor compartilham um mesmo endereço proxy e as páginas acessadas por eles ficam, em parte, armazenadas no servidor do mesmo. Assim, quando um usuário que estiver com o proxy ativado tentar abrir uma página já existente no servidor do provedor, ela será aberta de forma muito mais rápida. Proxies assim são públicos e a privacidade é zero, pois o provedor continua logando tudo o que entra e sai. A vantagem é que pode-se ganhar muito em velocidade de acesso.

Por outro lado, existem centenas de proxies anônimos na rede que podem ser compartilhados, gratuitamente, sem pôr em xeque a sua privacidade. O serviço é basicamente o mesmo do proxy público, com a diferença de que seu provedor de acesso passa a não mais saber por onde você anda passeando durante as madrugadas com seu Netscape ou Internet Explorer.

Ao configurar seu navegador para usar um proxy anônimo, as informações deixam de ser trocadas entre seu computador e seu provedor, e passam apenas pelo filtro do proxy remoto, que o deixará anônimo para as outras páginas acessadas. Alguns proxies são melhores do que outros, e cabe ao usuário escolher um que se adeque às suas necessidades.

A COLETA – Se você ainda não usa proxy, no próximo artigo ensinaremos como usá-lo e como escolher entre dezenas de opções, além de um programa especial para filtragem de conteúdo. Se você já usa, acesse as seguintes páginas para medir o grau de anonimato do seu proxy ou da sua conexão atual:

http://internet.junkbuster.com/cgi-bin/show-http-headers
http://anonymizer.virtualave.net/cgi-bin/env.cgi
http://cserve.cis.smu.edu/misc/envtest.html

Perceba as seguintes chaves:
REMOTE_ADDR: seu endereço IP.
REMOTE_HOST: Seu host.
HTTP_X_FORWARDED_FOR: proxy mostra o IP de quem o utiliza.
HTTP_USER_AGENT: seu navegador
FORWARDED: mostra o proxy usado
VIA: mostra uso do proxy
CLIENT_IP: “your IP can be revealed by proxy”
HTTP_FROM: “sometimes IP proxied from is revealed”

PARTE III (final)

No artigo anterior pudemos ver que, diferentemente do que pensam alguns, os usuários domésticos e as empresas de pequeno ou médio porte possuem alternativas práticas e eficientes de se protegerem contra invasões de privacidade e contra a curiosidade de administradores de sistema ou provedores de acesso. Uma das alternativas, talvez a mais útil e fácil de ser usada, é o uso e configuração de proxies anônimos enquanto se navega na Internet.

Na tabela nº 01 listamos dezenas de endereços proxies, todos abertos e gratuitos, prontos para serem testados e usados por qualquer um. A grande maioria possui resposta relativamente rápida. Após configurado o endereço desejado do seu proxy, utilize os sites publicados no artigo anterior para verificar o grau de anonimato e credibilidade do seu proxy, que pode variar de 0 a 5, sendo 5 a nota máxima – ou seja, uma nota 5 o transforma em um semi-fantasma na rede.

CONFIGURANDO – No Internet Explorer, abra o menu “Ferramentas” (Tools) e, em seguida, “Opções Internet” (Internet Options). Localize a orelha “Conexão” (Connection), escolha a conexão dial-up que você for querer ativar o proxy, e clique em “Configurações” (Settings)

Dentro da janela de configurações (settings) marque a opção “usar servidor proxy” e entre com o endereço e a porta. Geralmente, as portas são 80 ou 8080, mas esse número pode variar. Lembrando sempre que a porta é o número seguinte ao “:” (dois pontos) no endereço do proxy. Para configurar o proxy pelo Netscape, abra o menu de preferências e procure nas opções avançadas. Repita o mesmo procedimento, cadastrando o endereço em todas as chaves (wais, http, ftp, gopher, etc…)

Feito isso, feche seu navegador e, caso esteja conectado, desconecte-se. A partir de sua próxima conexão, seus dados, informações e transações dentro da Internet não serão mais trocados entre seu computador e seu provedor de acesso, e sim entre seu computador e o proxy anônimo. De tal forma, o site, o administrador de sistema, ou o postmaster que desejar coletar informações pessoais suas, ou monitorar as páginas que você acessa, irá esbarrar no anonimato do proxy. Um verdadeiro sistema anti-bisbilhotagem.

TESTANDO – Usar um proxy não significa apenas evitar cookies. Tudo bem, apesar dos cookies serem altamente intrometidos, sabemos que eles são úteis. Mas o proxy não evita apenas os cookies, e sim filtra as informações que entram e que saem de sua conexão, como se fosse um monitor particular. Mais adiante veremos um excelente software que lhe dá total controle sobre tal fluxo de dados.

Caso você seja assinante do UOL, existe um teste bem simples a ser feito. Sem estar usando proxies, acesse http://www.uol.com.br e perceba que, muitas vezes, no canto superior direito da tela podemos ver a mensagem “Olá fulano-de-tal, o UOL lhe dá as boas vindas”. Ao entrar na página do UOL, sua conexão já é totalmente identificada como assinante do UOL, motivo pelo qual lhe permite acessar o conteúdo restrito aos assinantes sem a necessidade de digitar novamente seu login e sua senha. Agora configure seu proxy, feche o navegador, abra novamente e acesse a mesma página. Pode acessar quantas vezes quiser que o UOL não lhe dará as boas vindas, pois para o servidor deles você não estará sendo nada mais do que qualquer usuário, que poderia estar acessando a partir de qualquer provedor ou qualquer cidade. Tente acessar algum conteúdo restrito, como uma revista, e perceba que será necessário digitar seu login e sua senha, como forma de autenticação no Universo Online.

Interessante, não?

VELOCIDADE – Nem tudo são flores. As vantagens de se usar um proxy, no que se refere à privacidade de navegação, podem não ser compensadas pela velocidade. O usuário mais curioso pode testar todos os endereços listados na tabela nº 01 e perceber que alguns são mais lentos do que outros. Quando você se conecta à Internet, sem usar nada além da sua conexão normal, as informações são processadas entre sua casa e seu provedor local de acesso. Ao usar um proxy, as informações são processadas entre sua casa e a localidade onde está o servidor do proxy anônimo, passando despercebido pelo provedor de acesso.

Se o proxy a ser usado fica no Japão, é fácil de imaginar que as páginas podem (ou não) ser abertas de forma mais lenta. As informações sairão do seu computador, irão até o Japão, para só depois voltarem. Caso o usuário acesse uma página que ainda não tenha sido acessada por ninguém que esteja usando o mesmo proxy que você, a lentidão na abertura de tal página será perceptível. Por outro lado, acessar uma página que já tenha sido acessada por qualquer outra pessoa, utilizando o mesmo proxy que você, resulta em uma velocidade superior, haja vista que grande parte do conteúdo daquela página estará disponível remotamente através do proxy.

A depender de sua empresa, de suas necessidades e das necessidades dos funcionários, usar um proxy pode ser uma mão na roda. Entretanto, se tudo o que você quer é navegar na Internet da forma mais rápida possível, sem dar atenção ao que esteja acontecendo por baixo dos panos, ou a quem possa ou não estar monitorando sua conexão, esqueça os proxies anônimos

SOFTWARE – Existem dezenas de programas anti-cookies ou programas que dizem proteger sua máquina contra invasores. No que se refere a bons softwares a serem usados em conjunto com o proxy, um dos que mais se destaca é o Proxomitron. Basicamente, o Proxomitron é um programa de filtragem, excelente para quem deseja navegar com privacidade sem precisar pagar nenhum adicional. Os filtros são diversos e o usuário pode criar os seus próprios, de acordo com os objetivos e necessidades do momento.

O interessante do Proxomitron é que ele funciona como um bombril – 1001 utilidades. Além de monitorar e filtrar o fluxo de informações na sua conexão, ele também trabalha ativando e desativando cookies, além de evitar aquelas irritantes janelas do tipo “pop-up” que aparecem quando você entra em determinado site. Confesse: existe coisa mais chata do que acessar uma página gratuita e aparecer montes de janelas extras com propagandas? Ou acessar um provedor de acesso que insiste em abrir uma nova janela com auto-propaganda? Pior ainda, entrar em uma página pessoal em que o autor abre uma nova janela pedindo voto para concurso tal? E se você não votar na página, mais uma janela é aberta perguntando o motivo de não ter votado!

É muita bisbilhotagem para uma rede só. Entre outros recursos do Proxomitron, também existe a possibilidade de congelar os banners animados, que deixam os sites tão pesados; remover marcas d’água em provedores gratuitos; remover DHTML (dynamic html); não carregar o papel de parede nas páginas; entre outros.

Você achou a lista na tabela nº 01 muito grande? Caso já esteja usando o Proxomitron, é possível cadastrar vários endereços proxies e sair testando um por um, de forma automática, a fim de descobrir o mais rápido naquele instante. É possível trocar de proxy a cada intervalo de tempo ou de cliques. Fantástico. Quem tem medo de sofrer um ataque por IP ou por trojans, também poderá se tranqüilizar mais. O Proxomitron pode encaminhar todas suas conexões simultâneas para uma única porta, a fim de barrar qualquer tipo de invasão.

O mapa da mina:
http://proxomitron.cjb.net ou http://www.imasy.or.jp/~mjk/soft/proxomitron/index.html

Diga adeus aos trojans e aos bisbilhoteiros de plantão.

PROVANDO – Por algum acaso, você ainda dúvida ou acha pouco? Visite http://privacy.net/analyze/ e perceba que a página só falta dizer o nome da sua mãe e do seu papagaio.