Em memória de Giordani Rodrigues

Publicado em Quinta - 04 de Outubro de 2007 | por Luiz Celso

Web só parece mais segura, diz CERT.br

Relatório divulgado pelo CERT.br apontou nova diminuição das ameaças de segurança encontradas em sites brasileiros.
Leia mais...

Oito tecnologias que põem em risco a segurança corporativa

Publicado em Quinta - 20 de Setembro de 2007 | por Luiz Celso

Eletrônicos de consumo e serviços de alta tecnologia estão ganhando espaço na vida pessoal de diversos profissionais e, de alguma forma, têm se aproximado cada vez mais do ambiente corporativo. E nesse grupo incluem-se smartphones, sistemas de voz sobre IP, memórias portáteis e até a segunda vida virtual.

Em uma pesquisa recente conduzida com 500 executivos pelo Yankee Group, 86% deles disseram que têm utilizado pelo menos um eletrônico de consumo no ambiente de trabalho por motivações que variam desde inovação à melhoria da produtividade.

Infelizmente, essa tendência tem apresentado riscos às companhias. Por um lado porque o uso dessas tecnologias pode aumentar o risco de brechas de segurança e por outro, porque podem sobrecarregar o já sobrecarregado departamento de TI.

Para ajudar sua empresa a decidir como responder a essa realidade, a edição norte-americana do COMPUTERWORLD listou oito populares tecnologias e serviços destinados ao usuário final que invadiram o local de trabalho. Também relata como algumas companhias do mundo estão atingindo o equilíbrio ideal de segurança, produtividade e... sanidade.

1-) Mensagens instantâneas

As pessoas têm usado os mensageiros instantâneos para tudo ultimamente, desde garantir que seus filhos conseguiram uma carona para casa até comunicar sobre o tema da próxima reunião com um colega de trabalho. A pesquisa do Yankee revela que 40% dos entrevistados disseram que utilizam mensageiros instantâneos comuns no trabalho.

Os mensageiros instantâneos trazem vários desafios de segurança. Entre outras coisas, um malware pode entrar na rede corporativa e usuários podem enviar dados sensíveis da companhia por meio de redes inseguras.

Uma forma de combater essas ameaças é descartar serviços de mercado de IM e utilizar um servidor interno de mensagens instantâneas. A Global Crossing tomou tal atitude em 2005 quando adotou o Live Communications Server (LCS), da Microsoft. Em agosto do ano seguinte descartou o uso de serviços externos de mensagens como aqueles do MSN,
AOL e Yahoo. Agora todas as trocas internas de mensagens são criptografadas e mensagens externas são protegidas.
Também é possível partir para uma linha mais dura. O centro médico norte-americano DeKalb, por exemplo, adotou uma política de segurança que bane o uso de mensageiros instantâneos. O tráfego se resume basicamente a bate-papo e não informações sobre saúde, aponta Sharon Finney, administradora de segurança da informação. A companhia também optou por bloquear a maioria dos websites que permitem o download de mensageiros instantâneos, embora não tenha bloqueado MSN, AOL ou Yahoo, que abrigam caixas de e-mail de muitos médicos.

A clínica está analisando a idéia de implementar o mensageiro instantâneo do Lotus Notes ou mesmo um serviço como o Jabber em que os usuários corporativos possam se comunicar.

2-) Webmail

Dos 500 respondentes da pesquisa do Yankee Group, 50% disseram que usam aplicações pessoais de e-mail para fins corporativos. O problema com serviços destinados a usuários finais - tais como aqueles do Google, Microsoft, AOL e Yahoo - é que os usuários não se dão conta sobre quão inseguras são suas trocas de e-mail. Isso porque as mensagens são transportadas via internet e armazenadas no servidor do provedor também. Sem essa percepção, muitos não tomam precauções devidas sobre enviar dados pessoais como RG, número de passaporte ou informações sigilosas corporativas.

Outros destaques do COMPUTERWORLD:
> Gigantes indianas mudam o setor de terceirização no Brasil
> DTS prevê receita em R$ 12 mi e planeja IPO
> Positivo dobra a venda de PCs no segundo trimestre
> Gastos com TI vão chegar a US$ 1,48 tri em 2010, diz IDC
> Mercado de terceirização no mundo está lento segundo a TPI

Uma abordagem para reforçar a segurança no webmail é utilizar uma ferramenta que monitore conteúdo de e-mail utilizando filtros de palavras ou outras técnicas de detecção para gerar alertas sobre brechas em potencial ou simplemente bloquear o envio. A WebEx Communications, por exemplo, está considerando a expansão do uso da ferramenta de prevenção de perda de dados da Reconnex para incluir monitoramento de e-mail, segundo Michael Machado, diretor de infra-estrutura de TI.

3-) Equipamentos portáteis de armazenamento

Um dos maiores temores dos gestores de TI, segundo os especialistas, é a proliferação de equipamentos portáteis capazes de armazenar dados, como iPods e iPhones.

Embora seja fácil fechar as portas USB dos computadores dos usuários, muitos gerentes de segurança não recomendam essa prática. Se as pessoas quiserem subverter o processo, vão encontrar uma forma, mesmo que você coloque barreiras no lugar, ressalta Mark Rhodes-Ousley, arquiteto de segurança da informação e autor do livro Network Security: The Complete Reference.

Segundo ele, é mais fácil gerenciar a questão por meio da educação de pessoas sobre a relação entre equipamentos de armazenamento e dados sensíveis. A maioria dos incidentes que ocorrem não é intencional. Então, é aí que vem a parte da educação, comenta.

Uma alternativa, ressalta, seria o envio de alertas para os usuários todas as vezes que fosse registrada a tentativa de salvar um dado confidencial.

4-) PDAs e smartphones

Cada vez mais funcionários têm aparecido no ambiente corporativo com algum tipo de smartphone ou handheld. Podem ser eles BlackBerry, Treo ou iPhone. Mas quando eles tentam sincronizar seus equipamentos com os calendários ou aplicação de e-mail em seu próprio PC, é possível que ocorram problemas de tecnologia que variam de falhas de aplicação até a temida tela azul da morte.

Esses tipos de problemas são coisas mundanas, mas que podem deixar a TI maluca, aponta o arquiteto. Além disso, existe a possibilidade de o funcionário levar o que ele quiser nesses aparelhos quando deixa a empresa ou é demitido.

Assim como outras companhias, a WebEx minimiza essas possibilidades por meio da padronização de uma única marca ou modelo de PDA e permite que funcionários da organização saibam que a TI vai suportar apenas aquele aparelho.

5-) Celulares com câmera

A funcionária de um hospital permanece em um posto de enfermagem casualmente batendo papo com outras enfermeiras. Ninguém percebe que ela tem um pequeno aparelho em suas mãos e que, de tempos em tempos, aciona um certo botão. A cena pertence ao último filme sobre espionagem? Não. É um teste de segurança conduzido pela clínica DeKalb.

Um dos testes que fiz foi levar meu celular ao posto de enfermagem e começar a fotografar tudo o que era possível sem ser percebida pelos outros. Eu queria baixar as fotos, melhorar as imagens e ver o que eu conseguia, como informações sobre pacientes exibidas em telas de computadores ou mesmo papéis sobre a mesa, relata Sharon.

No entanto, a executiva conseguiu apenas a identificação do computador - não o endereço IP - que estava na sala, mas o dado seria suficiente para fornecer dicas ou qualquer tipo de informação quem pretendesse conduzir um ataque.

Na seqüência, a funcionária adicionou informações sobre essas possíveis ameaças aos seus programas de conscientização de funcionários. Dessa forma, as pessoas podiam ver quão arriscado é expor dados sensíveis.
Leia mais...

Receitas de bombas estão disponíveis na Internet

Publicado em Terça - 18 de Setembro de 2007 | por Luiz Celso

Circula na Internet diversos manuais para produzir armas químicas, biológicas e mesmo nucleares. Mas especialistas internacionais consideram as instruções não são para serem levadas a sério.

Segundo um grupo de peritos que se reuniu em Herzliya, próximo de Tel Aviv (Israel), para discutir uma questão a ameaça da divulgação destes manuais é menos do que parece. Anne Stenersen, autora de um estudo sobre o impacto global do terrorismo, citada pela AFP, afirma que a ameaça é exagerada.

Os especialistas dizem que é muito baixa a possibilidade de alguém produzir uma bomba com elevado poder destrutivo a partir de manuais online. De acordo com o grupo, as informações são muito básicas. Eles dizem que muitas dos sites contendo instruções para fabricar bombas são islâmicos e servem apenas para fomentar terrorismo.

De qualquer forma Stenersen alerta que os fóruns ocidentais especializados em receitas de explosivos são mais sofisticados e perigosos. Mas os especialistas consideram a produção destas armas não é fácil. Eles testaram as fórmulas e garantem que quase nunca funcionaram.
Leia mais...

Pesquisador expõe senhas de usuários do Tor

Publicado em Terça - 11 de Setembro de 2007 | por Luiz Celso

O pesquisador sueco Dan Egerstad revelou que as senhas de embaixadas que ele havia divulgado no final de agosto — entre as quais estava a de um embaixador — foram obtidas por meio da rede Tor. Egerstad criou e usou cinco “nós de saída” da rede Tor, os últimos computadores por onde passa a conexão, para capturar as senhas.

O The Onion Router (Tor) é um programa que tenta tornar o usuário anônimo na Internet. Uma conexão Tor passa por diversos computadores (cada um deles sendo um “nó”) antes de chegar ao seu destino final. Durante o percurso, a conexão é codificada. No entanto, se o computador de destino não aplicar nenhum tipo de criptografia, o último sistema por onde a conexão passar — o “nó de saída” — verá os dados que estão sendo transmitidos. Isso inclui quaisquer senhas e dados confidenciais.

Egerstad montou 5 nós de saída e capturou as senhas que trafegaram por eles. No final de agosto, ele publicou 100 combinações de usuário e senha pertencentes a empregados de embaixadas e a de um embaixador para chamar a atenção dos governos que estavam vulneráveis, mas não revelou como ele conseguiu as senhas. Ele também divulgou os endereços dos servidores de e-mail onde as senhas poderiam ser usadas.

O pesquisador diz que fez isto para chamar a atenção das pessoas que pensam que o Tor protege o tráfego que é passado pela rede. A Linha Defensiva desencorajou o uso de proxies e do Tor, alertando para os possíveis problemas de captura de dados no caso dos proxies. Egerstad mostrou que o mesmo problema também existe no Tor.

Outros especialistas já fizeram experimentos semelhantes. Uma página arquivada pelo Archive.org mostra uma lista de centenas de senhas, com apenas parte delas revelada.

A solução, de acordo com Egerstad, é aplicar criptografia usando um protocolo como SSL. Só ele pode garantir a confidencialidade dos dados. O pesquisador diz que não é um criminoso, nem um “hacker”. “Eu não sou um hacker e não invadi nada ilegalmente. Ás vezes entro em áreas cinzas exatamente para fazer o que precisa ser feito”, escreve ele em seu website, derangedsecurity.com.

Este é um caso onde uma tentativa de obter mais segurança acaba colocando informações em risco. Se os empregados das embaixadas não estivessem usando o Tor, é provável que as informações estariam mais seguras do que com ele. O Tor é uma ferramenta útil para quem quer ficar anônimo na Internet, mas expõe os dados de seus usuários, já que, para dificultar o rastreamento da conexão, a mesma precisa passar por vários computadores — e nem todos eles podem ser confiados.
Leia mais...

iPhone é desbloqueado de três maneiras diferentes

Publicado em Segunda - 27 de Agosto de 2007 | por Luiz Celso

Antes mesmo de completar 2 meses de seu lançamento, o iPhone está sendo alvo de três diferentes métodos de desbloqueio. O primeiro é um de garoto de 17 anos, George Hotz, que mantém um blog sobre o processo. O segundo é do time do iPhoneSIMFree e o último é da empresa especializada em desbloqueio de telefones Uniquephones com o site iPhoneUnlocking.com.

Desbloquear o iPhone permite que o aparelho seja usado em qualquer rede de telefonia móvel. Atualmente, apenas a operadora norte-americana AT&T vende o aparelho. Um iPhone desbloqueado poderia teoricamente ser usado em outras operadoras, mas alguns recursos podem continuar sendo exclusivos para clientes da AT&T devido a ausência de recursos especializados nas redes de outras operadoras.

A técnica desenvolvida por Hotz é complicada para se aplicar e requer alterações no hardware do aparelho. As outras duas soluções são baseadas apenas em software. O popular site Engadget confirmou a solução do iPhoneSIMFree com uma imagem do iPhone conectado pela T-Mobile, uma operadora de telefonia celular dos Estados Unidos concorrente da AT&T. O iPhoneSIMFree deve começar a vender seus serviços de desbloqueio a partir da próxima semana.

Hotz está vendendo um iPhone desbloqueado em um leilão no eBay com o título “O Segundo iPhone Desbloqueado do Mundo” (o primeiro ele diz usar). O leilão, que começou em 540 dólares, agora está acima dos 40 mil. É possível que o comprador não honre o valor oferecido (o lance é obviamente fraudulento) e é também possível que o eBay derrube o leilão antes de que a venda seja concretizada.
Leia mais...

Empresa que expôs dados de 8,5 mi de pessoas nos EUA é processada

Publicado em Sexta - 24 de Agosto de 2007 | por Luiz Celso

Uma ação foi aberta contra a Fidelity National Information Services (FIS) e uma de suas subsidiárias por expor os dados de 8,5 milhões de usuários, nos Estados Unidos.

O processo, registrado na corte federal da Califórnia, também acusa a empresa de outsourcing Jacksonville e sua subsidiária Certegy Check Services por invasão de privacidade e quebra contratual.

A empresa responsável pela acusação é a Girard Gibbs LLP, em prol das 8,5 milhões de pessoas.

A Fidelity National descobriu em julho que um funcionário da Certegy acessou ilegalmente os dados de milhões de pessoas, vendendo as informações.
Leia mais...

As 10 maneiras de driblar políticas de segurança

Publicado em Quarta - 22 de Agosto de 2007 | por Luiz Celso

Uma maneira de arrepiar os cabelos dos gestores de segurança. Post no blog do Wall Street Journal aponta 10 maneiras de driblar as políticas de segurança corporativas em questões prioritárias para a realização do trabalho cotidiano, como enviar arquivos gigantescos, instalar softwares não autorizados ou visitar sites bloqueados pela empresa.

Mesmo que Vauhini Vara tenha explicado o risco dessas práticas, o post causou comoção e – claro – ódio mortal em diversos gestores de segurança. Mark Tardoff, do ecorablog, mostrou seu repúdio, assim como Jon Espenschied, do Computerworld EUA, fez graça na matéria “Ah não, 10 coisas que mais assustam os profissionais de segurança”.

Link para o artigo em inglês: http://online.wsj.com/article_email/SB118539543272477927-lMyQjAxMDE3ODM1MDMzOTA1Wj.html
Leia mais...

Roubo de identidade no Monster.com atinge 1,6 milhão de registros de pessoas

Publicado em Terça - 21 de Agosto de 2007 | por Luiz Celso

O que primeiro foi reportado como um ataque que atingiu 46 mil pessoas via anúncios maliciosos em portais de emprego, surge como um dos maiores esquemas de roubo de identidade no mundo. De acordo com Amado Hidalgo, analista de segurança da Symantec, um novo trojan chamado Infostealer.Monstres roubou mais de 1,6 milhões de registros pertencentes a centenas de milhares de pessoas que têm currículos no portal de empregos Monster.com.

Os dados estão sendo usados para enviar aos usuários do portal para enviar e-mails de phishing altamente críveis com links para novas pragas a serem baixadas em suas máquinas. “Estamos investigando este Trojan e vamos tomar os passos necessários indicados pela investigação”, disse, por e-mail, o porta-voz da Monster.com Steve Sylven.

As informações pessoais contidas no registro do Monster.com incluem nomes, endereços de e-mail, endereço residencial, número de telefone e números de identificação, relata Hidalgo, que rastreou os dados enviados para um servidor remoto.

O trojan Infostealer.Monstres conseguiu invadir o Monster.com ao usar log-ins legítimos, provavelmente roubado de funcionários que possuem acesso à área do site “Monster for employers”. Uma vez dentro, o cavalo-de-troia realizou buscas automáticas para candidatos trabalhando em certas regiões e com perfis determinados. Os resultados eram enviados para o servidor remoto dos criminosos.

“Uma base de dados com informações tão críticas é o sonho de um spammer”, diz Hidalgo. E é para spam que os criminosos estão usando esses registros de informação.

Os e-mails enviados contam com o malware Banker.c que monitora o PC infectado em busca de conexões para i-banking para gravar o nome de usuário e senha. É enviado também o Gpcoder.e, um trojan que usa criptografia para ‘sequestrar’ arquivos na máquina invadida demandando pagamentos para liberar os dados em questão.

O phishing enviados, para se mostrarem confiáveis, colocam no corpo da mensagem os dados roubados do site da Monster.com, demandando então que seja clicado nos links com as pragas chamado “Monster Job Seeker Tool” ou ferramenta de busca de vagas do Monster.

De acordo com Hidalgo, o ataque é provavelmente obra de um único grupo. “O modus operandi é muito similar, usando nomes de arquivos idênticos, criando a mesa pasta de sistema, injetando códigos nos mesmos processos e usando as mesmas técnicas de root-kit para obter controle das funções de rede e roubar dados sensíveis”, define.
Leia mais...

NCSA quer “segurança online” em currículo escolar nos EUA

Publicado em Segunda - 20 de Agosto de 2007 | por Luiz Celso

A organização não-governamental norte-americana NCSA (National Cyber Security Alliance — “Aliança de Cibersegurança Nacional”) divulgou nota nesta quarta-feira (15/08) informando que está pedindo o apoio dos governadores e diretores de escolas para incluir “segurança online” no currículo. A organização, que quer que lições como ética e segurança digital sejam incluídas no currículo, tem o apoio de empresas como a Symantec, McAfee, CA e Microsoft.

A lei federal dos EUA No Child Left Behind (”Nenhuma Criança Deixada Para Trás”) de 2001 exige que todas as crianças tenham o conhecimento necessário para operar um computador até a oitava série. Não há, no entanto, um currículo formal sobre segurança online para ser ensinado nas escolas.

“Enquanto mais e mais crianças e adolescentes crescem em um mundo conectado, é importante que eles entendam como se comportar online, e a segurança deles depende se eles vão ou não falar com estranhos, divulgar informações pessoais em sites de redes sociais ou proteger o computador da família”, disse Ron Teixeira, diretor executivo da NCSA.

O currículo de segurança proposto possui suas lições agrupadas em três grupos: um de ética e dois de segurança. As lições de ética digital ensinam que invadir computadores é ilegal e intimidar ou atormentar outras pessoas online é tão inaceitável quanto na vida real. A primeira lição de segurança trata de situações sociais e comunicação, como as que comumente ocorrem em sites de redes sociais. Já o segundo grupo de lições de segurança digital dá noções sobre phishing, spam, pragas digitais, senhas fortes e proteção de dados pessoais.
Leia mais...

Conselho Europeu pedirá mais proteção para usuários de Internet

Publicado em Quarta - 15 de Agosto de 2007 | por fgp

São Paulo, 14 de agosto de 2007 - O Conselho Europeu pretende discutir a regulamentação dos direitos dos usuários da rede no Fórum de Governança da Internet, que acontecerá no Rio de Janeiro em novembro, de acordo com sites internacionais de notícias.
Leia mais...