Em memória de Giordani Rodrigues

Publicado em Segunda - 26 de Março de 2007 | por Luiz Celso

7 formas de manter secretos sua pesquisa e você

A maior ameaça para a sua privacidade pode não vir dos cookies, spywares ou rastreamentos dos web sites ou ainda da análise dos seus hábitos de navegação. Ao contrário, isso pode vir de engenharias de busca que coletam, gravam e armazenam suas buscas na internet.

Ferramentas de engenharia rastreiam seus termos de busca, descobrem os sites que você visita como resultado de suas pesquisas, o tempo que você gasta nas suas pesquisas e seu endereço IP. Com tudo isso, é possível descobrir quem você é, o que gosta e não gosta e também o que você faz enquanto está online.

Pesquisas arquivadas podem ser intimadas pelo governo federal e usadas em qualquer situação que o governo deseje. Tais arquivos também podem inadvertidamente ser divulgados ao público, para que todos vejam. Por exemplo, em agosto de 2006, a AOL acidentalmente publicou relatórios de buscas de 650 mil usuários, informações que rapidamente se espalharam pela internet.

Isso significa que você deve abrir mão da sua privacidade toda vez que usar um sistema de busca? Não, se você for esperto. Siga essas sete dicas para manter a sua privacidade, independente do sistema de busca que utilizar.

1. Não se cadastre

Se você se cadastra em uma das ferramentas de busca, você torna fácil para as companhias que administram esse serviço construir um perfil detalhado sobre você, porque eles conseguem identificar você nas suas buscas. Você pode pensar que nunca faz algum tipo de cadastro nesses sites, mas existe uma boa chance que você tenha feito, possivelmente sem saber disso.

Já foi o tempo em que as ferramentas de busca eram simplesmente ferramentas de busca. Hoje em dia, elas são ecossistemas inteiros de sites e serviços. O Google, por exemplo, oferece dezenas de serviços, incluindo o correio eletrônico gratuito Gmail, software de serviços online, recursos de blog e outros. Para a maioria deles, você precisa se logar se quiser usá-los.

Para fins de privacidade, nunca faça pesquisas enquanto estiver logado em qualquer serviço de busca, como o e-mail. Desta forma, se você estiver logado no Gmail, não pesquise na internet.

Uma alternativa é usar o navegador Firefox para serviços como Gmail e outros, como o Internet Explorer, para fazer pesquisas no Google. Dessa forma, vai ser muito mais difícil para as ferramentas de busca correlacionar sua identidade com suas pesquisas. Para segurança máxima, use um serviço de anonimização ou um software como o Tor para o browser que você usa para fazer buscas.

Se você não gosta desta idéia de usar dois browsers, instale diferentes perfis no navegador - um para uso de e-mail e outro para serviços de pesquisa e ainda um diferente para as buscas que você faz atualmente. Mais uma vez, isso vai tornar mais difícil para as ferramentas de busca correlacionar a pesquisa e a sua identidade.

O Firefox permite que você crie perfis separados, mas o Internet Explorer não. No Firefox, use o gerenciamento de perfil para criar perfis distintos. Para isso, abra o comando prompt e navegue até o diretório onde o Firefox está instalado (dependendo da versão, pode ser no C:Program FilesMozilla Firefox). Digite firefox.exe - ProfileManager e pressione Enter. O Profile Manager, como mostra a figura abaixo, aparece. Clique em Create Profile e siga as instruções para criar seu perfil. Crie quantos perfis você quiser e varie o uso para as buscas, veja a página de ajuda do Firefox Como gerenciar perfis.

2. Mantenha-se seguro contra o Google

Se você é como a maioria das pessoas, você faz todas - ou a maioria - das suas buscas usando uma única ferramenta: o Google. Isso significa que você está particularmente vulnerável, porque o Google terá um registro de todas as suas pesquisas. Mesmo se você não se cadastra no Google, ele pode rastrear suas buscas porque usa cookies para acompanhá-lo sessão por sessão.

Você pode, é claro, deletar todos os seus cookies antes de visitar o Google. Mas isso é problemático porque eles podem ser bastante úteis. Eles podem, por exemplo, logar você em alguns sites automaticamente ou salvar suas preferências pela forma como você usa os sites.

Uma solução simples é bloquear somente o Google nos cookies em seu PC. A forma de fazer isso varia de um browser a outro. No Internet Explorer, por exemplo, escolha Ferramentas>Opções da Internet, clique em Privacidade e depois no botão Sites. Na janela Adress of Web site, digite www.google.com e depois em bloquear.
De agora em diante, quando você visitar o Google, ele não terá permissão para colocar um cookie no seu disco rígido e não será capaz de rastrear suas pesquisas.

No Firefox 2, selecione Ferramentas>Opções, selecione o botão Privacidade e clique em Exceções. Depois digite www.google.com no Endereço de web site e clique em bloquear. Se você usa outra ferramenta de busca, coloque o endereço dela também.

Perceba que, porque o Google não colocará mais cookies no seu disco rígido, você pode não ser mais capaz de usar vários serviços do Google, como o Gmail. Se você é um usuário Firefox, você pode também usar o CustomizeFirefox extension que entre outras coisas, torna-o anônimo quando você usar o Google.

O Google tem numerosos serviços que você pode assinar, incluindo os serviços RSS, chamado de Google Reader e Google Groups, que permite a você ler grupos de notícias e outras comunidades de debates. Quanto mais serviços como este que você assinar, mais o Google saberá sobre você.

Além das suas pesquisas, ele sabe que blogs e grupos de notícias você lê e participa, por exemplo, o que facilita para a gigante criar um perfil fidedigno sobre você.

3. Mude regularmente seu endereço IP

As ferramentas de busca podem correlacionar todas as buscas por meio de um rastreamento do endereço de IP que você está usando e depois o utiliza para linkar todas as buscas que você realiza naqueles sites.

Existe uma forma simples de burlar isso: mude regularmente seu endereço de IP. Operadoras de banda larga determinam a você um endereço de IP para usar a internet. Estes endereços IP dinâmicos tipicamente ficam designados para o seu PC por um longo período. Para obter um novo endereço, desligue o seu modem, mantenha-o assim por alguns minutos e depois ligue novamente. Isso limpa seu antigo endereço IP e atribui a você um novo.

Se você é uma daquelas poucas pessoas que possuem endereço IP estático - por exemplo, no trabalho - você não poderá usar esta técnica. Ao invés disso, você vai ter que navegar anonimamente com software como o Tor.

4. Use ixquick

Esta é a maneira mais fácil de se certificar de que a informação sobre as suas buscas e pesquisas não serão usadas para construir um perfil sobre você: use uma ferramenta de busca que não arquiva o histórico de suas pesquisas. Isso é exatamente o que o ixquick promete. Ele diz que deleta todas as informações sobre suas pesquisas dentro de 48 horas, então a informação simplesmente não está disponível para qualquer um usar. Se o governo intimar os dados, não há nada para eles obterem.

5. Não inclua informações pessoais em suas pesquisas

Nós sempre Googamos nós mesmos algumas vezes, somente para ver o que está circulando na web sobre nós. Mas todas as vezes que você usa uma informação pessoal em buscas, como seu próprio nome, endereço ou outros dados relacionados, você torna mais fácil para a ferramenta saber quem você é e depois correlacionar com as buscas. Pior, isso pode fazer com que abram brechas se você estiver procurando por informações como o seu número de identidade e alguém acessar as gravações de suas pesquisas.

6. Faça pesquisas críticas em um ponto público de hot spot

Se você precisa de qualquer jeito fazer uma pesquisa com informações pessoais ou uma pesquisa que é sensível por alguma razão, não faça isso em casa ou no trabalho. Ao contrário, vá até um ponto público de hot spot para fazer a pesquisa a partir de lá. Certifique-se de que está usando um hot spot que não exige que você se autentique, ou então sua privacidade estará comprometida.

7. Evite usar o serviço de busca do seu provedor de internet

O seu provedor de serviços sabe o seu endereço de IP, o que significa que ele pode seguir todos os web sites que você visita. Isso é suficientemente ruim para a privacidade, mas, se além disso você também usa a ferramenta de busca, o seu provedor passa a ser capaz de correlacionar seu endereço de IP com as pesquisas e construir um perfil ainda mais detalhado sobre você.
Leia mais...

Brasil lidera ataques na Web na América Latina

Publicado em Quinta - 22 de Março de 2007 | por Luiz Celso

O Brasil lidera os principais índices de ataques na Web na América Latina. A informação é do relatório Internet Threats Report, elaborado pela Symantec.

Segundo o estudo, o Brasil encabeça o ranking de nações da região que mais enviam spams, com 42% do total. Em segundo vem a Argentina, com 14%, seguida do Chile, com 11% e o México, com 9%.

No quesito de redes bots (conhecida também como redes de PCs zumbis), o País responde por 41% do número de máquinas infectadas. A Argentina vem logo em seguida com 14%, o México ficou em 3º com 12% e Chile em 4º com 10%. Entre as cidades mais atingidas pelos botnets, Buenos Aires lidera com 17% de PCs contaminados, com Santiago em 2º com 12%, Lima em 3º com 8% e São Paulo em 4º com 7%. O Rio de Janeiro aparece em 6º com 5%.

Entre outras ameaças virtuais que atingem a América Latina, como ataques de phishing, spywares e outros códigos maliciosos, os EUA aparecem como o país que mais ataca a região, respondendo pela origem de 47% dos ataques. A China vem em 2º com 16%, seguido pelo Reino Unido com 14% e com o Brasil em 4º, respondendo por 4%.

Segundo Douglas Wallace, diretor de engenharia de sistemas da Symantec para o Caribe e América Latina, o Brasil tem essa liderança por contar com uma maior infra-estrutura de serviços de banda larga . Esse é um fator essencial para a propagação dos ataques.
Leia mais...

54% das empresas sofreram ataques no último ano

Publicado em Quarta - 21 de Março de 2007 | por Luiz Celso

Nos últimos 12 meses, 54% das corporações brasileiras sofreram algum tipo de ataque em suas redes, seja nos servidores ou diretamente nos PCs dos funcionários. A informação foi divulgada na terça-feira (20/03), pela VF Intelligence, divisão de pesquisas da Via Forum.

A pesquisa foi realizada com 350 empresas, 60% das quais com mais de mil empregados. Os dados revelam que 40% dos entrevistados constataram que os incidentes partiram de dentro das empresas. Na maior parte das ocorrências, figura o envio de material confidencial para terceiros, seguido por roubo de propriedade intelectual e eliminação não-autorizada de arquivos.

Entre as causas apontadas para a manutenção de um ambiente seguro está o desconhecimento por partes dos funcionários dos procedimentos necessários para prevenir ataques e a falta de recursos dos empregradores para investir em treinamento de conscientização.

De todas as companhias participantes da pesquisa, apenas 38% destinam verba específica para a questão da segurança da informação e risco. Os 62% restantes, incluem este item no orçamento total de TI.

Entre os fatores que mais influenciaram em perdas financeiras, foram destacadas as ocorrências de vírus nos desktops, o grande volume de spam recebido e infecção com spyware.
Leia mais...

15 dicas para deixar seu site PHP mais seguro

Publicado em Terça - 20 de Março de 2007 | por Luiz Celso

Deixe o seu código em PHP mais seguro com essas dicas...
Leia mais...

Código Penal cobre 95% dos crimes eletrônicos

Publicado em Segunda - 19 de Março de 2007 | por Luiz Celso

Cerca de 95% do Código Penal brasileiro cobrem crimes eletrônicos. Segundo o promotor de Justiça Augusto Rossini, que acaba de desenvolver a tese “Informática, Telemática e Direito Penal”, a maioria das leis criminais do Brasil tem embasamento para e para punir o cibercrime. “Não precisamos criar novas leis e sim adaptá-las para serem equiparadas aos crimes eletrônicos”.

Para o promotor, os crimes digitais que aparentemente não estão previstos na lei precisam apenas de um novo tratamento jurídico. “A obtenção e o armazenamento de provas eletrônicas, por exemplo, ainda não tem um tratamento específico”.

Outro exemplo citado pelo promotor é o armazenamento de dados telemáticos de usuários pelo provedor de Internet em caso do assinante comenter alguma infração. “É preciso que se tenham regras bem definidas sobre a responsabilidade do provedor Web que, apesar de não ser o autor do crime, é considerado co-autor, já que serviu de plataforma para a infração”, especifica.

Para Rossini, a Internet é apenas um novo ambiente, mas a maioria dos crimes é os mesmos descritos no Código Penal de 1940. “Furto é furto em qualquer lugar, assim como estelionato e falsidade ideológica. O que precisa é equiparar”, justifica.

Renato Opice Blum, advogado especialista em crimes eletrônicos, concorda com o promotor, mas cita um exemplo de cibercrime que não está previsto no Código Penal. “Não existe punição legal para quem cria um vírus e para quem dissemina a punição é por danos. Um ano de detenção, sendo que raramente resulta em prisão”.


Projeto de Lei 76/2000

Opice Blum conta ainda que esses 5% de crimes que precisam de adequação legal já estão previstos no Projeto de Lei 76/2000, do senador Eduardo Azeredo. “Esse projeto prevê a tipificação de crimes como este exemplo da criação e disseminação de vírus”. O advogado adianta que o PL está tramitando no Senado e deve ser aprovado ainda este ano. “Com este projeto aprovado as lacunas na lei brasileira estarão cobertas”, completa.
Leia mais...

Empresas vão gastar US$ 10 bi em redes seguras

Publicado em Sábado - 17 de Março de 2007 | por Luiz Celso

As companhias deverão investir US$ 10 bilhões até 2012 em infra-estrutura para construção de redes colaborativas de negócios. As estimativas são de uma pesquisa do Gartner.

Embora essas redes colaborativas tornem as empresas mais competitivas e reduza custos, a consultoria alerta para os riscos que as companhias correm com esses ambientes. Analistas do Gartner afirmam que essas redes para compartilhamento de dados abrem novas brechas de segurança.

Em razão disso, o Gartner prevê que as companhias vão investir mais em novos mecanismos de segurança para tornar esses ambientes mais confiáveis para transações de negócios com fornecedores, parceiros terceirizados, clientes e com todos integrantes de sua cadeia de valor.
Leia mais...

Blogger é usado por crackers para espalhar malwares

Publicado em Sexta - 16 de Março de 2007 | por Luiz Celso

O serviço de blogs Blogger, do Google, está sedo seqüestrado para espalhar malwares por blogs falsos, alertou uma fabricante de segurança nesta sexta-feira (16/03).

De acordo com a Fortinet, blogs que aparentam ser genuínos com temas que variam entre garotas, ficção científica, carros, Natal e escola estão sendo criados para hospedar diversos malwares ativados por scritps.

Seria impossível que visitantes percebessem o perigo dos sites, que agora estão conta com milhares de exemplos, disse a companhia. Mesmo que tenham aparência genuína, os sites parecem que foram criados especialmente para enganar usuários.

A Fortinet deu exemplo destes sites, incluindo um em que um suposto fã do veículo CR450, da Honda, tenta infectar visitantes com o cavalo-de-tróia Wonka.

Em outro, o blog falso redireciona o usuário para uma loja online que finge ser a Pharmacy Express, phishing para onde o worm Stration, divulgado em massa no final de 2006, leva a vítima.

Estes não são blogs legítimos que foram atacados. Eles parecem ter sido feitos deliberadamente para promover phishing, o que é contra nossos termos de serviço. Estamos investigando, e blogs que descobrimos que tenham códigos maliciosos ou promovam phishing serão deletados, afirmou o Google em anúncio pra a CNet.

O falso blog é outro exemplo de rede social sendo explorada para ganhos próprios. Em tempos recentes, o MySpace e o YouTube foram usados para hospedar e redirecionar malwares.

Em outubro do ano passado, a MySpace foi usada para infestar phishing, enquanto, no começo do ano, seus usuários foram infectados com propagandas a partir do site.

Em novembro, foi a vez do YouTube, outra companhia do Google, hospedar códigos maliciosos, desta vez usando vídeos eróticos como isca.
Leia mais...

Rejeitada idéia de usar malware para pegar crackers

Publicado em Quinta - 15 de Março de 2007 | por Luiz Celso

E se os grupos dos bons usuários começassem a usar as ferramentas dos criminosos para pegá-los, mas outros bons usuários os impedissem de fazer isto?

Policiais alemães expressarem interesse em desenvolver ferramentas de software para ajudar usuários de computadores que possa estar envolvidos em crimes.

As ferramentas podem incluir tipos de malwares similares aos usados em fraudes online e esquemas de roubo, como programas que gravam registros da teclas do PC.

Companhias de segurança, no entanto, estão afirmando que não fariam exceções para que seus aplicativos, por exemplos, não acusassem cavalos-de-tróia plantados por representantes legais em PCs dos usuários.

Magnus Kalkuhl, analista de vírus da Kaspersky, afirmou nesta quinta-feira (15/03) durante a CeBit que a Alemanha confirmou seus planos de investir 264 mil dólares na idéia e custear dois programadores para o caso.

O projeto foi informalmente nomeado de Bundestrojaner, que pode ser traduzido literalmente do alemão para Cavalo-de-tróia federal.

Duas decisões legais na Alemanha, no entanto, joagram dúvidas sobre se o uso de tal tecnologia - sem o conhecimento dos usuários afetados - não iria contra a lei alemã que diz respeito às buscas, afirma Kalkuhl.

O Clube do Caos de Computadores na Alemanha afirmou no mês passado que se opõe à estratégia do governo e que tais buscas e monitoramentos online violam os direitos fundamentais do usuário.

A questão pode ser ainda mais controversa caso criminosos online usem antivírus ou softwares que combatam malwares.

Enquanto considere a idéia de ajudar a estratégia com pressões para mudar a lei, a Kaspersky não modificar seu software para permitir que programas clandestinos da polícia infectassem um PC. Tal mudança iria contra o que um software do tipo tem que fazer, afirmou Kalkuhl.

A decisão é baseada no que o programa faz, não em que o escreveu, afirmou Kalkuhl na Cebit.

Em 2001, foi a vez da finlandesa F-Secure decidir que não modificaria seu software a pedido das organizações legais, afirmou Mikko Hypponen, chief research officer.

Abrir uma exceção para a polícia francesa abriria precedentes para outros países, afirmou ele.

Aonde desenharíamos a linha?, questiona Hypponen. Não vamos desenhar linha alguma neste sentido.
Leia mais...

Especialistas criam lista das 20 vulnerabilidades mais comuns em segurança na W

Publicado em Terça - 06 de Março de 2007 | por Luiz Celso

Técnicos do Centro de Atendimento a Incidentes de Segurança (Cais) da Rede Nacional de Ensino e Pesquisa (RNP) do Ministério de Ciência e Tecnologia , finalizaram a tradução da Sans Top-20 2006, lista-referência que divulga as 20 vulnerabilidades mais comuns em segurança na Internet. A lista é uma tentativa de apontar, resumidamente, as principais ameaças aos sistemas operacionais e aplicativos mais usados atualmente, com o objetivo de diminuir a quantidade de ataques. No dia 28/02, a versão em português foi publicada no site do System Administration, Networking and Security Institute (Sans).

Nessa edição da lista são apontadas vulnerabilidades no Internet Explorer, em sistemas operacionais, em aplicações Web , na tecnologia VoIP e em tocadores mutimídia, entre outros. Também indica como se proteger das ameaças. Muitos dos principais especialistas em segurança do mundo participaram da elaboração do documento, assim como agências governamentais conscientes sobre esse assunto do Reino Unido, Estados Unidos e Cingapura, conhecidos fornecedores de software do setor, empresas de consultoria, universidades e organizações de usuários.

A iniciativa dos técnicos do Cais na tradução da lista tem a finalidade de aproximar usuários de computador e Internet do universo de segurança em redes. O Sans Top-20 é um documento de referência internacional, não só para técnicos, mas também para usuários domésticos. É escrito numa linguagem bem amigável, explica Liliana Velasquez, gerente do Cais.

Veja as 20 vulnerabilidades apontadas pelo Sans em: http://www.sans.org/top20/2006/. Clique no link a seguir para ler o documento em português.
Leia mais...

Falha corrigida no Firefox ainda persiste no IE7 e Opera 9

Publicado em Segunda - 26 de Fevereiro de 2007 | por Luiz Celso

Uma vulnerabilidade corrigida na versão 2.0.0.2 do navegador Firefox e do cliente de e-mails Thunderbird, ambos da Mozilla Foundation, continua afetando os browsers Internet Explorer 7 e Opera 9. Essa afirmação foi feita por Stefan Esser , especialista em segurança digital da Alemanha.

Embora os desenvolvedores dos navegadores defeituosos já tenham sido informados sobre o problema, somente a Microsoft chegou a dar uma resposta com relação ao seu boletim. Curiosamente, essa resposta veio em forma de acusação, já que a empresa de Bill Gates disse que Esser deveria tê-la alertado antes de tornar a falha pública. Como a produtora de software não entrou em contato com o especialista em segurança, ainda não há previsão de quando o problema será resolvido, segundo o site Heise Security.

Quando comparada com outras sete vulnerabilidades corrigidas na semana passada, esta não é particularmente crítica, já que ela apenas permite que filtros de Javascript sejam mais facilmente burlados quando uma página da Web não tenha um encodamento de caracteres previamente definido.

Por isso, é possível promover ataques de programação cross-site (XSS). Por outro lado, é desejável que esse bug seja erradicado o quanto antes, pois sua presença pode tornar essa falha uma verdadeira praga difícil de ser remediada no médio/longo prazo. O boletim de Esser, contudo, afirma que o bug não está presente em versões mais antigas do Opera e do IE, como a 8 e a 6.
Leia mais...