dezembro 31, 2009

[Segurança] Perspectivas para 2010

Final de ano é sempre assim, muitas empresas lançam suas retrospectivas para o ano que se vai e suas previsões para o próximo ano. Eu já falei aqui, recentemente, sobre algumas retrospectivas do mundo de segurança da informação em 2009. Recentemente o portal espanhol Hispasec publicou uma lista com as principais notícias da comunidade de segurança no ano de 2009, divididas em quatro posts, representando cada trimestre do ano. As retrospectivas de janeiro a março, abril a junho, de julho a setembro e de outubro a dezembro já estão disponíveis e valem a leitura. Aproveite a oportunidade para abaixar gratuitamente o pdf do livro Una ao Dia, uma excelente publicação que apresenta as principais notícias do mercado nos últimos 11 anos - uma ótima referência.

Além disso, é interessante comentar que o relatório "2009 Annual Security Report" da Message Labs indicou que, em 2009, tivemos um total de 73 milhões (putz!) variantes de malware (código malicioso), 5 milhões de computadores participando de botnets e enviando SPAMs, e que a média global de SPAM correspondeu a 87.7% do volume de mensagens enviadas. Ou seja, praticamente 9 em cada 10 e-mails que circularam no mundo eram SPAM.

Falando agora sobre as previsões para 2010, diversas empresas já publicaram seus palpites. A grande maioria delas, como a Panda Labs, Trend Micro e o Gartner, apostam que as principais novidades e ameaças serão relacionadas com Cloud computing (na expansão e ne neccessidade de segurança para este novo paradigma), com as redes sociais sendo exploradas para disseminação de malware, o crescimento das ameaças para telefones celulares e smartfones e aumento de preocupação com guerra cibernética e proteção da infra-estrutura crítica (termo que se refere a infra-estrutura necessária para manter os países funcionando hoje em dia, como rede elétrica, telecomunicações, esgoto, etc). O portal BankInfoSecurity.com também aposta que, dentre as fraudes que vão dominar o cenário de 2010, vão se destacar os crimes contra caixas automáticos (ATM), contra transaçoes eletrônicas e as invasões a redes corporativas das empresas do setor financeiro (isso se mostrou, em 2009, uma forma eficiente de roubar grandes quantidades de dados) e as suas aplicações online. (há mais algumas previsões, que tornam o artigo bem interessante). Um outro artigo muito bom e que cobre muito doque já foi dito e um pouco mais, foi publicado pela Daryus, que eu recomendo a leitura.

Já o relatório "Tendencias 2010: la madurez del crimeware" da empresa ESET, destaca entre outros o crescimento de uma nova ameaça, o "Malvertising", que corresponde ao uso de anúncios falsos na Internet para distribuir códigos maliciosos (mas até que isso não é tão novo assim, eu lembro de já ter ouvido vários casos disso no passado). Outro relatório interessante é o da Kaspersky, que lançou seis previsões sobre o cenário de ameaças em 2010 através do relatório "2010 Cyberthreat Forecast". A visão da empresa russa foca no crescimento dos ataques através de redes de compartilhamento e P2P, no declínio dos falso programas de antivírus (pois o "mercado" deles está saturado e as empresas tem combatido bastante esta ameaça) e no uso do Google Wave como novo vetor de ataques.

Eu, particularmente, fiquei decepcionado com as previsões da F-Secure, que em sua quase totalidade me pareceram bem óbvias, como a primeira, que diz que o "Windows 7 vai ganhar market share em 2010" - é mais do que natural que um software recém lançado vai, no mínimo, começar a ser utilizado e, portanto, vai ganhar market share. Só achei interessante eles terem dado destaque para a copa mundial de futebol na África do Sul, em 2010 (algumas emrpesas também pensaram nisso, mas nem todas). Um belo acerto, na minha opinião, pois o evento vai movimentar muitos SPAMs, phishings e tentativas de fraude no próximo ano. Algo que já aconteceu na Olimpíada de Pequim, onde até sites falsos para a venda de ingressos foram encontrados.

A iDefense, o grupo de inteligência em segurança da VeriSign, também preparou um estudo com a análise dos principais fatos que aconteceram em 2009 e com as principais previsões para o mercado e o ambiente de segurança para o ano que vem. O material completo somente será divulgado ao público em um webinar no final de Janeiro (por enquanto, somente os clientes receberam este relatório), mas algumas (das 18) previsões da iDefense para o ano que vem são as seguintes:

  • A iDefense prevê que haverá mais vulnerabilidades do Windows 7 em 2010 do que todas as vulnerabilidades descobertas do Windows Vista nos três anos desde o seu lançamento.
  • O uso de sites de redes sociais para distribuição de código malicioso aumentará rapidamente em relação a outros tipos de mecanismos de distribuição.
  • O governo americano provavelmente vai passar a maior parte de 2010 tentando implementar as prioridades de segurança que fixou em 2009, mas terá algum sucesso, algumas falhas e incoerências crescentes.
  • Os atacantes russos vão aumentar a complexidade de seus ataques contra instituições financeiras, especialmente pela combinação de diversos ataques, como utilizar os ataques de DDoS para distrair o pessoal de segurança enquanto executam grandes transações fraudulentas.
  • As operações de roubo de informação do govero Chinês contra seus rivais estratégicos ou contra fontes de propriedade intelectual devem aumentar, sendo ainda mais intensa contra a Índia do que contra outras nações.
  • Os criminosos brasileiros vão concentrar mais atenção em aumentar a eficácia dos métodos de distribuição de malware (incluindo adotar novos métodos, além do tradicional phishing, como distribuir código malicioso através de páginas web válidas, previamente infectadas).
  • No longo prazo (2010-15), os governos em todo o mundo estarão dedicando parte de seus orçamentos para segurança e começarão a definir uma política internacional para o espaço cibernético.

Para conhecer as previsões da iDefense com maiores detalhes, registre-se no webinar gratuito que acontecerá em 28 de Janeiro.

E, nesse último post do ano, vamos torcer para que a indústria consiga se adaptar as melhores e piores previsões que se realizarão em 2010, para que os usuários de Internet e as pessoas em geral possam utilizar a rede de forma segura.

OBS: Atualizado em 14 de Janeiro para incluir as referências e comentários sobre a Message Labs, a ESET, Trend Micro e Kaspersky.

dezembro 23, 2009

Boas Festas


Quero fazer uma pequena pausa no meu blog para desejar um Feliz Natal para todos e um ano novo repleto de esperanças, felicidades e sucesso.

(Eu não sou nenhum pouco criativo para escrever mensagens de parabéns, felicitações, comemorações, etc...)

Esta foto foi tirade nesta semana na árvore de natal colocada ao lado do Parque do Ibirapuera, em São Paulo. Ela já se tornou uma tradição na cidade, e eu faço questão de visitá-la todos os anos :)

Aos leitores mais "geek", eu sugiro passar a noite de 25 de dezembro acompanhando o site "NORAD Tracks Santa", onde o departamento responsável pela monitoração do espaço aéreo americano e canadense (o NORAD) utiliza sua tecnologia para acompanhar o trajeto do Papai Noel na noite de Natal. Atualmente, será possível acompanhar o Papai Noel pelo Google Earth (antes não tinha isso - sinal dos tempos !!!). Uma brincadeira que surgiu há alguns anos atrás, mas que não deixa de ser legal :)

dezembro 21, 2009

[Segurança] Retrospectiva 2009

O portal BankInfoSecurity publicou um artigo recentemente listando os maiores incidentes de 2009 relacionados a vazamentos de dados. É uma retrospectiva macabra, que nos faz lembrar quantos milhões de números de cartão de crédito e dados pessoais foram roubados pelos criminosos virtuais nos Estados Unidos somente neste ano.

Segundo o site, os 9 maiores vazamentos de dados foram os seguintes:

1. Heartland Payment Systems (20 de Janeiro): dados de 130 milhões de cartões de crédito e débito
2. RBS WorldPay (Novembro de 2008 e 4 de Fevereiro 4 de 2009): dados de 1.5 milhões de cartões de crédito e débito
3. Countrywide Financial (4 de Maio): Números de 4.000 contas
4. Chase Bank (10 de Maio): Não foi divulgado o número de dados roubados
5. Network Solutions (8 de Junho): Robados dados de 573.000 proprietários de cartões de crédito e débito
6. American Express (7 de Julho): dados de milhares de cartões
7. Capitol One Bank (06 de Setembro): Não foi divulgado o número de dados de conta corrente roubados
8. PayChoice (15 de outubro): Não foi divulgado o número de clientes afetados
9. Bank of New York Mellon (28 de Outubro): identidade de mais de 150 funcionários

O artigo tem um pouco mais de detalhes sobre os incidentes acima. O roubo de dados da Heartland Payment Systems, uma das maiores empresas processadoras de transações dos EUA, é certamente o maior incidente do ano. O incidente foi anunciado no começo deste ano, em 20 de Janeiro, após descobrirem que a rede da empresa havia sido invadida e os criminosos permaneceram capturando os dados das transações por vários meses. O principal criminoso responsável pela invasão, Alberto Gonzalez, já foi identificado e está sendo processado pela justiça dos EUA. Por causa do incidente, a Heratlando foi condenada recentemente a pagar uma indenização de 3.6 Milhões de dólares para a American Express.

O BankInfoSecurity também publicou uma retrospectiva interativa muito interessante dos principais incidentes de vazamento de dados de 2009.

dezembro 15, 2009

[Segurança] Cartilha sobre Segurança em Redes Sociais

Durante o Dia Internacional de Segurança em Informática 2009 (DISI), que aconteceu no dia 2 de dezembro, o CAIS lançou a cartilha "Segurança em Redes Sociais: Recomendações Gerais".

O objetivo da cartilha é conscientizar os usuários sobre como utilizar as redes sociais de forma segura e responsável. A cartilha apresenta algumas recomendações gerais e também várias dicas específicas para as redes sociais mais populares no Brasil: Orkut, Twitter e o Facebook. As principais recomendações gerais, e que valem para qualquer site de relacionamento, são apresentadas no início da cartilha, e elas incluem:
  • Muita atenção na hora de aceitar convites de amigos. Tente reconhecer a pessoa pela foto e pelas informações em seu perfil. Amigos demais podem indicar um perfil fraudulento.
  • Há várias recomendações para os usuários tomarem cuidado com suas senhas, como uso de senhas fortes (senhas com pelo menos oito caracteres, misturando letras, números e símbolos), a troca frequente e o uso de um software para gerenciar suas senhas. E, principalmente, não use a mesma senha em sites diferentes. O site da SANS chamado "Security Awareness Tip of the Day" tem algumas dicas interessantes sobre como criar senhas fortes.
  • Sempre saia do serviço adequadamente, usando o link "logout" (ou "sair"). Nunca feche a janela do navegador sem antes sair do site.
  • A cartilha também recomenda cuidado com os encurtadores de URL, como o bit.ly e o tinyurl. Eles podem ser utilizados para redirecionar as pessoas para sites maliciosos.

Além disso, o CAIS lembra que não devemos divulgar informações pessoais em sites de relacionamento, como endereço, telefones, e-mail e dados bancários. Evite colocar estas informações e detalhes de sua vida no seu perfil ou mesmo nas mensagens que troque com seus amigos.

dezembro 08, 2009

[Cidadania] Manifesto contra a publicidade para o público infantil

Seu fiho prefere assistir TV e fazer compras a brincar? Ele (ela) não consegue diferenciar uma manga de um pimentão, mas reconhece se o salgadinho é um Fandangos ou um Cheetos?

Diversas entidades prepararam o Manifesto "Publicidade Infantil Não", defendendo a importância da proteção da criança frente aos apelos mercadológicos e pedindo o fim das mensagens publicitárias dirigidas ao público infantil. Segundo o site, "A publicidade voltada à criança contribui para a disseminação de valores materialistas e para o aumento de problemas sociais como a obesidade infantil, erotização precoce, estresse familiar, violência pela apropriação indevida de produtos caros e alcoolismo precoce."



Se você não viu a importância deste manifesto, então assista o vídeo acima e reflita. E compare as situações mostradas no vídeo com o que acontece em sua casa, com seus filhos, sobrinhos, primos ou irmãos pequenos.

dezembro 02, 2009

[Cyber cultura] A história de um soldado americano


Eu vi esta dica em um post recente do blog Abordagem Policial entitulado "A história de um soldado (fotos)", que fala sobre o site Ian Fisher : American Soldier.

Este site é uma "photo collection" preparada pelo jornal Denver Post, que mostra a história de um jovem soldado norte-americano, Ian Fisher, nos 27 meses que incluíram seu alistamento no exército, seu treinamento, sua missão no Iraque e o retorno ao seu país. O texto é simples e objetivo, que serve de base narrativa para fotos lindas, muito caprichadas.

novembro 27, 2009

[Segurança] Eventos de Segurança em Dezembro

Estamos nos aproximando do final de ano mas ainda restam alguns eventos importantes e de qualidade na área de segurança da informação, e ainda dá tempo de participar.

Neste final de semana, nos dias 28 e 29 de novembro, acontecerá em São Paulo a Hackers to Hackers Conference (H2HC), evento que está em sua sexta edição e reúne os principais pesquisadores de segurança brasileiros. As incrições para o evento ainda estão abertas, e no sábado, dia 28/11, das 10h as 12hs será realizado uma atividade em paralelo, o debate Hackers to CSO (H2CSO). O H2CSO será transmitido online (gratuitamente), e é organizado pelo evento em conjunto com a Decision Report e a TV Decision.

No dia 02 de Dezembro de 2009, a RNP ira celebrar o Dia Internacional de Segurança em Informática (DISI) com um evento que acontecerá em Salvador (Bahia) e será transmitida online para todo o Brasil. O tema central do evento neste ano é a segurança nas redes sociais.

No sábado dia 05 de dezembro, o Comitê Gestor da Internet, em conjunto com o NIC.BR e o Registro.BR, realizará o 14o encontro do GTS, o Grupo de Trabalho em Segurança de Redes, em São Paulo. Este é um encontro semestral que reúne dezenas de profissionais de segurança presencialmente e também online, pois o evento é retransmitido ao vivo pela Internet. Diversos profissionais reconhecidos pelo mercado estarão presentes e apresentando palestras interessantíssimas.

Neste ano eu estarei presente na Hackers to Hackers Conference no debate sobre Guerra Cibernética no domingo (29/11), as 17:30, junto com a Kristen Denessen, da iDefense. Também irei palestrar no GTS sobre "Cloud Computing: Riscos e Mitigação", das 11:30 ate as 12:10.

novembro 26, 2009

[Cyber cultura] Blogs, a verdade contra a censura

Já disseram que a pena é mais forte do que a espada. Hoje em dia, os bits se tornaram mais forte do que a pena. E diversos países que vivem sob regimes autoritários, com a população e a impensa mantida sobre extremo controle, estão começando a perceber a ameaça que a Internet lhes oferece, através da livre expressão que somente a grande rede permite.

Uma reportagem na revista Veja da semana passada conta a história de uma blogueira cubana que foi espancada pela polícia política de Fidel Castro.


Yoani Sánchez é uma cubana blogueira de 34 anos de idade conhecida mundialmente por driblar a censura do governo e manter há dois anos o blog Generación Y, onde escreve sobre as dificuldades do cotidiano de quem vive em Cuba e questiona abertamente o governo local, driblando totalmente a censura e as noticias da imprensa oficial, que descrevem um país muito melhor do que ele realmente é. Ela também é autora de um livro baseado em seu blog, chamado "De Cuba, com Carinho". Coincidentemente, eu tinha lido na semana anterior uma entrevista muitíssimo interessante que ela deu nas páginas amarelas de uma edição um pouco mais antiga da Veja, onde ela fala sobre as dificuldades existentes, a perseguição política e escancara como o governo esconde do mundo as reais dificuldades do povo. (ah, o post original dela denunciando o ataque que sofreu está aqui)
"Convido quem vê Cuba como um exemplo a vir para cá, sentir na pele como vivemos"


O site Global Voices criou um mapa-mundi interativo que mostra os blogueiros ameaçados, presos ou mortos em todo o mundo por exporem seus pensamentos, totalizando atualmente 192 bloggers. Esta é uma ótima iniciativa para denunciar os governos autoritários e opressores, que controlam seus cidadãos a mão de ferro e na base da censura. Não posso me esquecer do Twitter, que também está se tornando cada vez mais um meio eficiente para a livre manifestação do pensamento. A recente eleição no Irã mostrou para o mundo como o Twitter pode ser usado como um meio de protesto, onde a população pode contar o que realmente está acontecendo e pode externar seu descontentamento. Internautas da Venezuela, México e Brasil já seguiram esse exemplo e utilizaram o microblog para protestar contra os governantes e políticos locais.

novembro 19, 2009

[Segurança] A PF e o crime cibernético

O Diário do Nordeste publicou uma entrevista interessante com delegado Carlos Sobral, chefe da unidade de repressão a crimes cibernéticos da Polícia Federal. Segundo ele, os três crimes cibernéticos mais preocupantes para a PF são a distribuição de material pornográfico (e, principalmente, a pornografia infantil), as fraudes financeiras ("pelo grande valor que transfere para a criminalidade - são somas altíssimas") e a venda ilegal de medicamentos pela Internet (inclui "produto falsificado, contrabandeado, proibido no Brasil").

A seguir eu transcrevo algus dos trechos mais importantes,na minha opinião:

  • Normalmente, a polícia judiciária está sendo chamada quando ele (o hacker) consegue completar a ação danosa. (...) Se não conseguimos ter acesso rápido à informação - e rápido é questão de horas, de dias; demora-se meses, às vezes -, não conseguiremos fazer boas investigações.
  • A internet é uma ferramenta de interação humana. Você encontra amigos que pensou nunca mais ver na vida. Na verdade, pessoas de má índole usam essa informação para prática de crimes e vão continuar usando. A tecnologia vai avançar, aproximar cada vez mais pessoas e aí temos que estar preparados para garantir a segurança.
  • Falar que a tecnologia é culpada pela prática do crime, não é. O fato é que facilita, é um facilitador. Culpadas são as pessoas que usam essa tecnologia (para praticar crimes).
  • [os administradores de sites] têm de ajudar no combate [aos crimes cometidos pelos usuários]. É dever de todos: da Polícia, do Estado e da sociedade. (Os donos dos sites) são responsáveis não pela conduta (dos usuários), mas pela prevenção e por auxiliar na repressão. ... Não é “vigilantismo”, não é cerceamento de liberdade, pelo contrário, é uma conscientização de que a segurança é dever de todos, para garantir às pessoas que continuem usando (a internet) sem correr risco de ser lesadas nas formas patrimonial ou moral.
  • [A legislação brasileira para internet] é falha. Falta disciplina, por exemplo, na questão do armazenamento de informações básicas para nossas investigações. Hoje, não há uma normatização se os registros de conexão com a internet devem ser armazenados ou não, quanto tempo devem ser armazenados...
  • Também falta uma legislação sobre crime cibernéticos puros, relativos à tecnologia propriamente dita: se a invasão de um site, a invasão de um computador, é proibida ou não.
  • Você tem que dar à autoridade policial o direito de conhecer, sendo necessário conhecer. Quanto mais informações relacionadas ao fato nós temos, mais é correta e profunda a nossa investigação. O que você tem que ter é uma forma de controle para evitar abusos e desvio de finalidade da informação. Se você depois apurar que essa informação foi solicitada para fins outros que não investigar o crime, você pune a autoridade que fez a requisição e pune de forma exemplar: demite-se, pune-se com prisão se for o caso.

novembro 17, 2009

[Segurança] Hackers, apagão e urna eletrônica na Globo News

Na onda da polêmica sobre a hipótese de "hackers" terem causado o recente apagão e dos recentes testes de segurança realizados contra a urna eletrônica, a Globo News criou o programa "Hackers: Inimigos ou aliados?", dentro da série "Espaço Aberto Ciência & Tecnologia", que se propõe a discutir esses dois assuntos com diversos especialistas da área, incluindo o Willian Caprino, o atual presidente da ISSA Brasil.

A reportagem é longa, dura aproximadamente 23 minutos, mas é bem didática. É interessante que esses dois assuntos, a possibilidade de invasão do sistema elétrico e a avaliação da segurança da urna eletrônica, exemplificam como o conhecimento em segurança da informação pode ser utilizado para o mal ou para o bem.



A discussão sobre a possibilidade de invasão ao sistema elétrico brasileiro foi fortemente baseada na entrevista com James Lewis, um especialista americano em segurança cibernética do CSIS, Center for Strategic and International Studies, um dos que acreditam nesta possibilidade. Mas note que, quando o repórter questiona de onde ele tirou a informação sobre a veracidade dos ataques cibernéticos no Brasil em 2005 e 2007, ele responde que se baseia no fato de que outras autoridades já haviam dito isso (e cita três delas, incluindo o presidente americano Obama). Ou seja, não há uma fonte real e específica que pode comprovar os fatos, ele simplesmente está repassando o que ele "ouviu dizer por aí". Afinal, nenhuma das pessoas citadas por ele também citaram de que fontes elas obtiveram a informação da suposta invasão.

Nesses últimos dias já vi muitas reportagens sobre esta história do "cyber apagão", ou seja, hackers terem invadido o sistema das operadoras de energia para causar intencionalmente os blackouts de 2005e 2007 ou mesmo o apagão da semana passada (ou blackout, como o governo prefere chamar o fato para desviar a discussão para o aspecto semântico da palavra, e não para a raiz do problema em si). Infelizmente, este assunto tem dado margem a diversos artigos e reportagens na imprensa que, além de não explicar nada, só servem para espalhar mais confusão e falsas verdades nessa história.

Na verdade, até o momento não existe nada que comprove que já tenha ocorrido um "cyber blackout" no mundo, ou seja, um blackout provocado intencionalmente a partir de uma invasão ao sistema de uma empresa do setor. A única verdade dentre as informações publicadas até agora é que um "hacker" brasileiro, Maycon, resolveu investigar o site da Operadora Nacional do sistema (ONS) após ouvir esses boatos e descobriu que a empresa tinha uma aplicação disponível online que, aparentemente, estaria vulnerável a ataques. Não há nenhuma informação clara sobre a importância e criticidade daquele sistema nem sobre a possibilidade deste sistema ter sido invadido. Alguns especialistas em segurança da informação afirmam que a análise realizada pelo Maycon não é suficiente para indicar claramente que existia realmente uma falha que pudesse permitir uma invasão ao sistema (por "invasão", entenda-se como a concretização do acesso não autorizado ao sistema, o equipamento ou a rede da empresa). Além do mais, diversos especialistas em segurança no Brasil com quem já coversei e alguns no mundo acreditam que, embora exista a possibilidade dos sistemas das empresas do setor elétrico estarem vulneráveis, um ataque desse tipo é muito difícil e complexo. Além do mais, as empresas do setor costumam separar fisicamente as redes internas: a rede do escritório e a rede que controla a operação do sistema - e essa rede não costuma ter acesso a Internet. Ou seja, um atacante teria que invadir a rede corporativa da empresa e depois achar uma "brecha" para passar para a rede que controla o sistema elétrico. Além do mais, também é consenso entre os especialistas que as empresas do setor energético no Brasil usam sistemas antigos, e estes sim, dependem pouco do uso de redes de comunicação como as que temos atualmente. Essa preocupação de ataques via rede TCP/IP e via Internet faz mais sentido em países com uma infra-estrutura mais avançada e automatizada, que não é o caso brasileiro atualmente.

De qualquer forma, como a reportagem da Globo News diz, ao final, devemos ver estes acontecimentos como uma oportunidade para iniciarmos a discussão e a prevenção, antes que fiquemos realmente vulneráveis.

novembro 14, 2009

[Segurança] Esse apagão deu o que falar !

De repente, no meio da noite, 70 milhões de pessoas ficam sem luz. Um apagão atingiu 18 estados no dia 10 de novembro, durando até 7 horas em algumas regiões. O maior apagão da história? Maior até do que o apagão de 1999.

A direção de Itaipu diz que o problema foi nas linhas de transmissão de Furnas e cria uma conta no Twitter para manter a população informada (meus parabéns ao time de comunicação e marketing da empresa!). Furnas diz que não teve problema. O Governo, na pressa de achar uma desculpa, diz que uma tempestade com raios atingiu três linhas de tansmissão e o INPE diz que não teve raio, após consultar seus sistemas. E agora, o que fazer? O governo "decreta" que o assunto está encerrado, que ninguém mais discorde da versão oficial.

Além do mais, esse apagão teve um componente cibernético inusitado. Coincidência (ou não?), no domingo, dia 08/11, o programa 60 Minutes da rede americana CBS fez uma reportagem sobre terrorismo cibernético, onde foi dito que o blackout de 2007 no Estado do Espírito Santo, que afetou mais de três milhões de pessoas, e um incidente menor no Rio de Janeiro, em 2005, foram causados por hackers. O governo brasileiro já desmintiu a reportagem, que é fruto de uma grande série de boatos envolvendo um suposto blackout causado por hackers fora dos EUA. Para colocar mais lenha na fogueira, um hacker brasileiro não teve muita dificuldade para encontrar um sistema web da Operadora Nacional do Sistema (ONS) disponível na Internet aparentemente vulnerável.

Como sugestão de leitura, a Daryus publicou um artigo muito interessante com uma coletânea de dicas para as pessoas e as empresas se prevenirem e se prepararem para uma situação dessas. Vale a pena a leitura.

novembro 04, 2009

[Segurança] O exemplo vem de cima

Quando uma empresa decide implementar uma nova política de segurança, costumamos dizer que é fundamental que a iniciativa tenha o apoio da alta direção. Isto ocorre quando os executivos, diretores e o presidente da empresa estão conscientes dos riscos existentes e da necessidade de criar normas e regimentos internos relacionados a Segurança da Informação.

Este tipo de comprometimento "top-down" é muito importante pois o ser humano tem uma tendência natural em rejeitar mudanças, ainda mais quando se tratam de novas normas e regras que, em muito casos, limitam e regulam acessos e direitos pré-existentes de muitos funcionários. Quando os executivos da empresa manifestam seu apoio a política de segurança, eles estão incentivando os demais funcionários a fazer o mesmo (seja por imposição ou por darem um bom exemplo).

Por isso eu fiquei muito entusiasmado quando assisti o vídeo abaixo, do presidente americano Barack Obama, disponibilizado pelo canal da Casa Branca no YouTube. O vídeo foi produzido como parte das ações de conscientização do "National Cybersecurity Awareness Month", uma iniciativa americana que elegeu o mês de Outubro para divulgar e difundir os riscos e cuidados que todos devem tomar ao utilizar a Internet.



No vídeo, Obama discursa sobre os riscos existentes na era da informação, sua importância e como os EUA são dependentes das redes digitais hoje em dia - e, ao mesmo tempo, altamente vulneráveis a cyber attacks. O governo Obama elegeu as redes como bens críticos e está priorizando sua proteção. Ao mesmo tempo que, como consumidores, utilizamos a Internet para fazer compras e pagar contas ou impostos, o presidente Obama lembra que somos vulneráveis a ataques que violam nossa privacidade ou roubam nossa identidade.

Segurança cibernética é responsabilidade do governo, setor privado e da população em geral. No vídeo, são apresentados três conselhos para os internautas se manterem seguros online:
  • Mantenha seus softwares de segurança e sistemas atualizados (o mesmo vale para o sistema operacional de seu micro e as principais aplicações que utilize);
  • Sempre saiba com quem você está interagindo online, seja uma empresa ou uma pessoa;
  • Nunca forneça suas informações pessoais e financeiras sem antes verificar se está lidando com alguém legítimo.

São conselhos simples e que sumarizam os principais cuidados que todos devemos ter ao utilizar a Internet.

[Segurança] Teste se você é uma isca fácil para ladrões de senhas na Internet

O UOL Tecnologia colocou no ar um teste online muito simples e interessante, para você saber se os seus hábitos na Internet te colocam no "grupo de risco" dos que sofrem fraude online.

São algumas perguntas simples e que abordam as principais artimanhas que os criminosos cibernéticos utilizam para enganar os internautas e roubar suas informações (dados pessoais e suas senhas de acesso).

Faça o teste: Você é uma isca fácil para ladrões de senhas e dados na internet?

novembro 03, 2009

[Segurança] Internet, covil de covardes e terra de maravilhas

A romancista e poetisa Lya Luft publicou um texto muito interessante em sua coluna na revista Veja desta semana, com o singelo título "Não fui eu!" e o provocante subtítulo "Como tantas coisas neste mundo contraditório, a internet é ao mesmo tempo covil de covardes e terra de maravilhas".

O artigo está disponível online somente para assinantes da revista ou do portal da editora Abril, mas um blog disponibilizou uma cópia dele online. Eu não vou transcrever o artigo, para evitar questionamentos com relação ao direito autoral (da editora Abril, no caso), mas recomendo fortemente a leitura e reflexão.

A Lya Luft toca em dois pontos atuais e que fazem parte da vida de qualquer autor famoso ou mesmo de qualquer pessoa ou empresa que se aventure a publicar um conteúdo online. No primeiro caso, constantemente circulam textos na Internet (através de e-mails e daqueles power points anexados a mensagens) cuja autoria é indevidamente atribuída a algum escritor famoso, provavelmente para dar alguma credibilidade a mensagem. Ela mesmo menciona que constantemente recebe textos atribuídos indevidamente a Carlos Drummond de Andrade, Fernando Pessoa, Érico Verissimo, Clarice Lispector ou algum texto indevidamente indicado como se fosse dela mesma. Já vi um artigo do Érico Veríssimo dizendo o mesmo, há alguns anos atrás.

Convenhamos, independente da qualidade literária do texto ou do teor da mensagem, quem gostaria de ver um texto distribuído na Internet e indevidamente atribuído a si? Ser indicado como autor de um texto que nunca escreveu? E que, eventualmente, pode ser discordante da sua opinião pessoal? Na Internet, isso acontece. As pessoas estão se acostumando a publicar qualquer tipo de conteúdo online, certas do anonimato e da impunidade. Por outro lado, uma multidão de internautas está acostumada a repassar ou republicar qualquer mensagem que receba, sem verificar a sua autenticidade ou a credibilidade da fonte.


"No espaço cibernético podemos caluniar e destruir ou elogiar e endeusar quem quer que seja, sem revelar nossa identidade."
(Lya Luft)

Outra ocasião em que vemos a selvageria da Internet, conforme rapidamente citado pela Lya Luft, é no festival de comentários online que normalmente acompanham temas polêmicos. Seja em um artigo de uma revista online, ou um post de um blog, ou um vídeo popular no You Tube. Se o assunto é polêmico, dezenas, centenas ou milhares de ínternautas irão expressar suas opiniões. Algo que é excelente, diga-se de passagem, se não fosse uma minoria que se faz valer do anonimato para, covardemente, usar os comentários para ofender ou agredir as pessoas, sem que o autor ou os demais participantes possam se defender devidamente (no máximo, o ofendido publica uma resposta ou, quando se trata de um site mais cuidadosamente administrado, o post ofensivo é removido). Isso acontece constantemente; eu sugiro a todos prestarem mais atenção nas seções de comentários do You Tube ou de seu site favorito. O tema é polêmico? Tem relação com política, governo, preconceito, violência?

A Internet é uma ótima ferramenta para todos, permite o acesso fácil e rápido a notícias e informações no mundo todo. Quando bem utilizada, é uma maravilha. Porém, a maioria dos usuários ainda precisa apreender a lidar com isso, a separar o certo do errado. E, como a Lya Luft comenta em seu artigo, quando algo de errado acontece, o internauta fica sem saber para quem pedir ajuda. Como retirar um conteúdo ofensivo do ar? Que lei utilizar? Há lei? Há como identificar o ofensor? Como punir?

A Internet ainda é uma terra sem lei, no estilo do "Velho Oeste".

outubro 29, 2009

[Cyber cultura] A história do Google

A Google da Inglaterra lançou o vídeo The Google Story - what next?, uma produção muito bem caprichada contando a história da empresa em 2 minutos.



É uma animação bem divertida e que mostra, rapidamente, os principais feitos do Google de 1995, quando os seus fundadores se conheceram, até os dias atuais.

[Cyber cultura] Twitter vence a pena e a espada

Recentemente o governo mexicano propôs um aumento de 3% em diversos impostos naquele país, incluindo em serviços de telecomunicações e de acesso a Internet. Frente a isto, milhares de usuários mexicanos começaram a protestar via o Twitter, utilizando a hashtag "#internetnecesario" para identificar suas mensagens de protesto. As mensagens começaram no dia 20 de outubro, atingindo quase 1% do total de tweets (pode parecer pouco, mas não é).


Algo semelhante já aconteceu no Irã e no Brasil. O episódio das eleições iranianas ficou famoso, pois milhares de usuários iranianos protestavam online e também utilizavam o Twitter para enviar notícias sobre os protestos locais (marcadas com a hashtag "#iranelection"), furando o bloqueio criado pela censura governamental, imediatamente após a reeleição do polêmico presidente Mahmoud Ahmadinejad. Aqui no Brasil, nós protestamos contra a permanência do José Sarney na presidência do Senado, após várias denúncias de corrupção, enviando mensagens no Twitter com a hashtag #forasarney.

Mas, ao contrários de seus colegas do Irã e do Brasil, os mexicanos conseguiram uma grande vitória: o senado Mexicano rejeitou a proposta de aumento nos impostos dos serviços de Internet. Os protestos virtuais deram certo no México !!!

setembro 04, 2009

[Segurança] Política de Segurança no governo federal

O Departamento de Segurança da Informação e Comunicações (DSIC) da Presidência da República está desenvolvendo um excelente trabalho de criar e divulgar um conjunto de normas de segurança que servem como guia e exemplo na construção de uma política de segurança.

Este material serve de referência para todos os órgãos e empresas da administração pública federal e, além do mais, podem servir de modelo para qualquer empresa que esteja criando ou revisando a sua política. O DSIC já criou cinco normas até o momento, que foram publicadas no Diário Oficial da União e também estão disponíveis na página de Normas Complementares no site do DSIC. As normas são as seguintes:
  • Norma Complementar nº 01/DSIC/GSIPR, Atividade de Normatização
  • Norma Complementar nº 02/DSIC/GSIPR, Metodologia de Gestão de Segurança da Informação e Comunicações.
  • Norma Complementar nº 03/DSIC/GSIPR, Diretrizes para a Elaboração de Política de Segurança da Informação e Comunicações nos Órgãos e Entidades da Administração Pública Federal.
  • Norma Complementar nº 04/DSIC/GSIPR, e seu anexo, Diretrizes para o processo de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC nos órgãos e entidades da Administração Pública Federal.
  • Norma Complementar nº 05/DSIC/GSIPR, e seu anexo, Disciplina a criação de Equipes de Tratamento e Respostas a Incidentes em Redes Computacionais - ETIR nos órgãos e entidades da Administração Pública Federal.

O DSIC é um subordinado ao Gabinete de Segurança Institucional da Presidência da República e é o grupo responsável por planejar e coordenar a execução das atividades de segurança da informação na administração pública federal. Sua responsabilidade inclui não apenas as redes da administração direta, como nos ministérios, mas também as empresas de controle misto, como a Petrobrás e o Banco do Brasil, totalizando 320 "grandes redes" (segundo as palavras do Diretor do DSIC, Raphael Mandarino Jr.). Isto também inclui o Serpro, Exército, Marinha e Aeronáutica.

Este trabalho é muito importante pois cria um conjunto mínimo de regulamentos que devem ser seguido pelos órgãos e empresas. Assim, serve para orientar aquelas entidades que ainda não possuem uma política de segurança e, além do mais, fornece um ferramental valioso para que as empresas revisem suas políticas, mesmo no caso das que já possuem algum tipo de normativa interna.

julho 21, 2009

[Cultura] Mandela e a Lua

Duas datas muito importantes acabaram de passar:
  • domingo, dia 19 de Julho, foi comemorado o Mandela Day, evento que marcou o aniversário de 91 anos do Nelson Mandela;
  • segunda, dia 20 de Julho, comemoramos 40 anos que o homem pisou na lua
Mandela DayApós 27 anos preso por combater o regime totalitário e segregacionista na África do Sul, conhecido mundialmente como Apartheid, Nelson Mandela até hoje representa o maior ícone da luta contra o racismo e o preconceito. O dia 19 de julho, data de seu aniversário, é celebrado em todo o mundo como uma forma de motivar todos nós a colaborarmos para um mundo melhor e mais justo. Este ano o centro das comemorações foi em Nova York, onde foi realizado o concerto do Mandela Day, com a presença de dezenas de celebridades e artistas americanos e internacionais. O vídeo to concerto foi disponibilizado livremente no site www.46664.com (46664 representa o número que o Mandela recebeu quando estava na prisão - ele era o prisioneiro número 466 que deu entrada em 1964).
Logo Oficial Apollo 40 anosHá 40 anos atrás, mais precisamente em 20 de Julho de 1969, Neil Armstrong deu aquele pequeno passo que ficou famoso como um grande passo para toda a humanidade (em suas palavras, "One small step for a man, one giant leap for mankind"). Como fruto da corrida espacial, alimentada pela guerra fria, a NASA conseguiu o maior de todos os feitos: levar o homem a Lua (e trazer de volta) através da missão Apolo 11, formada pelos astronautas Neil Armstrong, Buzz Aldrin (o segundo homem a pisar na Lua) e Michael Collins.

julho 06, 2009

[Segurança] Mitos da Segurança

O site da O'Reilly publicou recentemente um trecho interessante do livro "The Myths of Security: What the Computer Security Industry Doesn't Want You to Know" que descreve as motivações atuais para os "bad guys" (os criminosos virtuais que infestam a Internet). Se antigamente a maioria das ações eram motivadas pela curiosidade, pelo desafio e pela busca pela fama e auto promoção, hoje o principal motivador é mais simples: ganhar dinheiro fácil ("easy money", como diz o texto).

O artigo cita várias formas que os crackers atuais podem utilizar para ganhar dinheiro fácil, usando as ferramentas existentes para este fim. A longa lista inclui o seguinte:
  • Coletar dados de cartão de crédito e vendê-los para outros criminosos. Eventualmente, utilizá-los em sites de e-commerce em pequenas transações, para passarem desapercebidos pelos seus donos
  • Ídem para cados bancários ou senhas de acesso a todos os tipos de sites (incluindo redes corporativas)
  • Utilizar um micro infectado para enviar SPAM, fazer Click Fraud (clicar automaticamente em anúncios pagos) ou simplesmente mostrar anúncios na tela do usuário
  • Utilizar um micro infectado para atacar outros computadores ou outras redes, assim como incluí-lo em uma Botnet para realizar ataques DDOS (Distributed Denial-of-service)

Além do mais, o texto lembra que o crime virtual é mais conveniente e seguro para o criminoso do que os crimes tradicionais. Dentre várias vantagens que normalmente discutimos, o autor cita o fato do bandido não precisar se aproximar fisicamente da vítima, o que é mais seguro e facilita que o crime seja praticado de outros estados ou países. Quando isto acontece, torna-se mais difícil identificar e preender o criminoso, pois envolveria a complexa interação e cooperação entre polícias de países distintos. Além do mais, o crime virtual pode deixar muito menos rastros do que o crime real, uma vez que o criminoso saiba como apagar seus rastros e utilizar de ferramentas que facilitem o uso anônimo da Internet.

Isso tudo faz com que o crime cibernético seja muito vantajoso para os vilões de história: ele é altamente rentável e poucas pessoas são presas.

junho 26, 2009

[Segurança] Vídeo mostra quadrilha que rouba senhas bancárias

Esta reportagem da Rede Globo mostra a ação de uma quadrilha especializada em roubar cartões de débito e senhas de clientes de vários bancos.

As imagens mostram o modus-operandi dos golpistas: um homem (ou uma mulher) se passa por cliente do banco na área onde ficam os caixas eletrônicos, e instala um dispositivo para aplicar o golpe: uma falsa leitora que retém os cartões bancários. Quando um cliente tem problema, ele se aproxima e oferece para "ajudar": ele (ou ela) liga do próprio celular para um falso serviço de atendimento ao cliente e repassa o telefone para a vítima, que acredita estar falando com um funcionário do banco e revela informações confidenciais (dados, senhas, etc).

O vídeo é impressionante, pois mostra a facilidade que os bandidos tinham em aplicar seus golpes a luz do dia.



A polícia, através do Departamento de Investigações Sobre o Crime Organizado (Deic), ainda procura a quadrilha. É difícil de acreditar, mas segundo a reportagem, os integrantes já foram presos no sul do país e colocados em liberdade.

Outra forma parecida de golpe, e também muito comum, consiste no uso de dispositivos chamados "chupa-cabra". Muitas vezes são dispositivos semelhantes ao mostrado na reportagem, mas ao invés de reter o cartão da vítima, ele é fixado sobre a leitora do caixa eletrônico para copiar os dados da trilha magnética no momento em que inserimos o cartão. É uma técnica um pouco mais avançada (tecnologicamente falando) do que a mostrada nesta reportagem, e igualmente perigosa.

junho 18, 2009

[Segurança] Evento do GTS e GTER começa amanhã

Começa amanhã, dia 19 de junho, o evento conjunto GTER-27 e GTS-13, organizado pelo NIC.br. Os eventos são tradicionais na área e costumam ter palestras de altíssima qualidade técnica.

O primeiro dia é dedicado ao encontro do GTER, o Grupo de Trabalho em Engenharia de Redes e no dia 20/06, sábado, teremos o encontro do GTS (Grupo de Trabalho em Segurança). Em cada dia, a temática das palestras é voltada principalmente para o tema do encontro (O GTER aborda engenharia de redes e comunicações e o tema segurança da informação é o foco do GTS).

As 10:50 do sábado, dia 20/06, eu vou apresentar o trabalho "O Crime Cibernético contra as Leis: o cenário da América Latina" no GTS, onde vamos discutir o cenário de ameaças e as iniciativas legais nos principais países da América Latina e como eles se correlacionam quando analisamos a segurança da informação baseada em um cenário global.

Graças a colaboração dos profissionais que apresentaram suas propostas, nesta edição o GTER / GTS tem um excelente programa.

O evento é gratuito. As inscrições on-line já foram encerradas, mas novas inscrições
poderão ser feitas pessoalmente no local do evento.

junho 17, 2009

[Segurança] Vídeo de conscientização para os jovens

A Defensoria do Menor, a Telefônica e a Caja Madrid criaram uma excelente campanha educativa sobre os perigos da Internet voltada especialmente para os jovens espanhóis. O vídeo é curto, simples e direto, e aborda os perigos que os jovens se expoem ao publicarem suas fotos na rede e terem suas imagens compartilhadas indiscriminadamente.

Este é um fenômeno recente, que tem assumido grandes proporções com a popularização das comunidades virtuais, fotologs, das trocas de fotos pessoais e íntimas e, porque não, fruto da popularização das câmeras fotográficas embutidas em celulares. Um dos riscos é o chamado "cyber bullying", onde adolescentes ameaçam e ridicularizam um(a) determinado(a) colega pela Internet (através de posts em sites, comunidades, mensagens de SMS, etc). Outro é o "sexting", a troca de mensagens eróticas entre os adolescentes mas que acabam sendo publicadas ou compartilhadas na Internet, em geral fotos que tiram de si mesmos para enviar para a namorada (ou namorado) ou colegas.

Hoje, mais do que nunca, crianças e adolecentes tiram fotos de seus amigos e de si mesmos em situações corriqueiras ou mesmo em situações íntimas. Seja acidentalmente ou fruto de um ato mal intencionado, estas fotos podem facilmente ser divulgadas além do seu círculo de amizade. Seja por vingança ou com o intuito de ofender a vítima. Ou um simples acidente, como uma foto esquecida em um pendrive, ou em um computador que foi para a manutenção (e caiu nas mãos de um técnico bisbilhoteiro).

junho 15, 2009

[Cyber Cultura] Dez Princípios para a Governança e Uso da Internet no Brasil

O CGI.br (Comitê Gestor da Internet no Brasil) publicou uma nova resolução onde enumera os dez Princípios para a Governança e Uso da Internet no Brasil:

1. Liberdade, privacidade e direitos humanos: O uso da Internet deve guiar-se pelos princípios de liberdade de expressão, de privacidade do indivíduo e de respeito aos direitos humanos, reconhecendo-os como fundamentais para a preservação de uma sociedade justa e democrática.

2. Governança democrática e colaborativa: A governança da Internet deve ser exercida de forma transparente, multilateral e democrática, com a participação dos vários setores da sociedade, preservando e estimulando o seu caráter de criação coletiva.

3. Universalidade: O acesso à Internet deve ser universal para que ela seja um meio para o desenvolvimento social e humano, contribuindo para a construção de uma sociedade inclusiva e não discriminatória em benefício de todos.

4. Diversidade: A diversidade cultural deve ser respeitada e preservada e sua expressão deve ser estimulada, sem a imposição de crenças, costumes ou valores.

5. Inovação: A governança da Internet deve promover a contínua evolução e ampla difusão de novas tecnologias e modelos de uso e acesso.

6. Neutralidade da rede: Filtragem ou privilégios de tráfego devem respeitar apenas critérios técnicos e éticos, não sendo admissíveis motivos políticos, comerciais, religiosos, culturais, ou qualquer outra forma de discriminação ou favorecimento.

7. Inimputabilidade da rede: O combate a ilícitos na rede deve atingir os responsáveis finais e não os meios de acesso e transporte, sempre preservando os princípios maiores de defesa da liberdade, da privacidade e do respeito aos direitos humanos.

8. Funcionalidade, segurança e estabilidade: A estabilidade, a segurança e a funcionalidade globais da rede devem ser preservadas de forma ativa através de medidas técnicas compatíveis com os padrões internacionais e estímulo ao uso das boas práticas.

9. Padronização e interoperabilidade: A Internet deve basear-se em padrões abertos que permitam a interoperabilidade e a participação de todos em seu desenvolvimento.

10. Ambiente legal e regulatório: O ambiente legal e regulatório deve preservar a dinâmica da Internet como espaço de colaboração.

Os mandamentos acima vem em uma boa hora, no momento em que a sociedade e a classe política discutem o projeto de lei contra crimes digitais, conhecido também como o projeto do Senador Azeredo (e alguns movimentos erroneamente e marketeiramente chamaram de "AI-5 Digital"). Na minha opinião o decálogo acaba representando uma postura bem moderada e correta no que se refere ao centro das discussões atuais: o direito (e dever) do Estado em proteger e legislar sobre o uso indevido da Internet, principalmente no que diz respeito ao princípio de que "O combate a ilícitos na rede deve atingir os responsáveis finais e não os meios de acesso e transporte, sempre preservando os princípios maiores de defesa da liberdade, da privacidade e do respeito aos direitos humanos". Este princípio deixa claro a posição do Comitê contra algumas iniciativas em discussão que acabam por penalizar ou responsabilizar os provedores de acesso e de conteúdo. Também se estabelece a necessidade e importância em preservar a segurança através de medidas técnicas e legais, sem que estas prejudiquem o funcionamento da Internet, conforme disposto nos princípios 8 e 10, ao declararem que "A estabilidade, a segurança e a funcionalidade globais da rede devem ser preservadas de forma ativa através de medidas técnicas compatíveis com os padrões internacionais e estímulo ao uso das boas práticas" e que "O ambiente legal e regulatório deve preservar a dinâmica da Internet como espaço de colaboração".

Este documento foi aprovado na 3ª reunião ordinária de 2009, que aconteceu em 24 de abril de 2009, mas aparentemente foi publicado hoje (o documento em PDF do decálogo disponível para download está com a data de hoje).

[Cyber Cultura] Phreacker americano se conecta à internet usando um modem de 1964

Uma matéria no site Geek me chamou a atenção: um phreacker americano postou um vídeo no YouTube mostrando com ele conseguiu se conectar e navegar usando um modem bem antigo.

O americano K.C., conhecido como “Phreakmonkey”, usou um modem analógico “Model A Acoustic Coupler Modem”, produzido em 1964 pela Livermore Data Systems, que ele ganhou em 1989 (aproximadamente) da viúva de um engenheiro aposentado da IBM. O único outro modelo semelhante (um Modelo B de 1965), segundo o vídeo, está no Computer History Museum, na Califórnia. O modem funciona a uma velocidade de 300 bits por segundo - o que é considerado extremamente lento, pois mesmo os piores modens ainda existentes costumam ter velocidade de 14.400 bps (14,4 mil bits por segundo), enquanto um modem discado moderno se conecta a 56 mil bits por segundo e uma conexão rápida bastante comum no Brasil gira em torno de, pelo menos, um milhão de bits por segundo.

Ele também postou mais informações e fotos em seu blog (mais precisamente, em dois posts: esse e esse aqui), onde comenta algumas coisas interessantes, como o fato de que o modem funcionou sem que ele precisasse fazer nenhum tipo de conserto ou modificação nos componentes originais.

[Segurança] Phishing engana 88% dos usuários web

Uma pesquisa divulgada recentemente pela VeriSign mostrou que nada menos do que 88% dos consumidores online nos EUA não conseguem identificar sites falsos criados pelos "phishers" (isto é como chamamos os criminosos que criam as mensagens de phishing).

Há várias pistas que normalmente ajudam os usuários online a perceber se um site ou uma mensagem de e-mail são falsos, como por exemplo:
  • Erros de digitação ou de escrita no site, pois é comum os criminosos cometerem alguns erros simples de gramática ou de concordância nos textos ou nos títulos das mensagens e sites que eles criam. Sites de phishing com estes erros não foram percebidos por 88% dos entrevistados.
  • Ausência do símbolo do cadeado indicando que a conexão é segura (através de SSL, que garante a identidade do site e a criptografia, isto é, o sigilo dos dados enviados ao site). Esta é uma pista muito comum pois os sites falsos não conseguem reproduzir os certificados SSL dos sites verdadeiros. Consequentemente, os phishings mais sofisticados apelam para colocar simples imagens de cadeados no site (para dar uma falsa indicação de que o site é seguro), usam certificados falsos ou de demonstração (associados a outros domínios) ou, raramente, conseguem explorar alguma falha de um site verdadeiro para injetar a tela de phishing no site real. De qualquer forma, a ausência do cadeado não foi notada por 68% dos consumidores entrevistados. Na minha opinião há um fator adicional, válido pelo menos aqui no Brasil: vários bancos colocam a tela de entrada do Internet Banking "dentro" da página inicial (através de um frame, por exemplo), de forma que o acesso fica de fácil navegação para o cliente, mas desta forma as indicações da conexão segura SSL não aparece (nem o cadeado nem o https na barra de endereços).
  • O endereço do site (URL) contendo nomes ou números não relacionados ao site original. Como os criminosos utilizam outros sites para hospedar suas páginas falsas, a URL (endereço web) do site nunca corresponde ao site original. Ou é um endereço parecido (com um nome parecido, como www.seub4nco.net em vez de www.seubanco.com.br) ou, em muitos casos, é uma URL de outro site que nada tem a ver com o site original (por exemplo, www.hospedeaquiseusite/seubanco). Este é um erro que pode ser percebido muito fácilmente (basta olhar o link na mensagem ou o endereço na barra de endereços do navegador), mas mesmo assim quase a metade (42%) dos usuários entrevistados não perceberam isto.
  • Solicitação de dados da conta desnecessários. Como as mensagens e os sites de phishing querem roubar os dados do cliente, normalmente eles pedem que o usuário forneça todos os seus dados em uma única tela. Em vez da tela de login do seu banco pedir apenas o seu nome (ou número da conta corrente) e sua senha, no site de phishing a tela de login já pede todos os seus dados bancários de uma única vez: número da conta, todas as senhas (incluindo do cartão de senha, se seu banco utilizar), dados dos cartões de crédito, as vezes até o CPF e por aí vai. Aí, não tem jeito, você já está entregando todos os seus dados na mão dos criminosos. 33% dos usuários pesquisados caíram no golpe de phishing neste momento (que é um índice bem alto, na minha opinião).


Para ajudar os usuários a identificar sites falsos, a VeriSign lançou um jogo online chamado "Phish or No Phish Challenge", onde foram criados alguns exemplos de sites de phishing para os internautas identificarem quando o site possui alguma característica que o identifique como sendo uma farsa. Os exemplos são um pouco simples demais, as vezes, mas ainda assim podem ajudar a educar as pessoas a terem mais cuidados.

Aqui no Brasil, a RNP mantém um ótimo catálogo de fraudes online, com centenas de exemplos reais de mensagens fraudulentas que já circularam pela Internet (atualizado constantemente).

ATUALIZADO: O portal de segurança do G1 lançou hoje um teste com dez perguntas para os usuários avaliarem o quanto conhecem e estão informados sobre as ferramentas e recursos de segurança de seus computadores e sobre as principais ameaças atuais. O teste é simples e interativo, onde após cada pergunta são mostradas as respostas (qual é a correta e quais são as erradas) com um link para uma explicação mais detalhada sobre o assunto.

junho 02, 2009

[Cyber Cultura] A Internet em 1996

O blog Royal Pingdom tem um post muito interessante que comenta e ilustra como era a Internet em 1996, há exatos 13 anos atrás (e, coincidentemente, o ano que a Internet começou a se popularizar aqui no Brasil).

Além de mostrar quais eram os principais sites da época e o visual deles, o site lembra que, em 1996...
Home page do UOL em 1996
  • O Google ainda não existia. Os internautas daquela época usavam o Yahoo, Lycos e o Altavista - e usávamos o Cadê aqui no Brasil
  • Haviam apenas 100.000 websites em Janeiro de 1996, comparado com os mais de 160 milhões em 2008
  • A grande maioria dos usuários utilizavam o Browser Netscape Navigator, que era gratuito, enquanto poucos usavam o Microsoft Internet Explorer (na época, na versão 3). Por isso mesmo, a página da Netscape era a campeã de acessos, pois era a página default da maioria dos browsers.

Ainda em 1996, no mês de outubro surgiu o Universo Online, hoje o maior portal da Internet brasileira. Na época, era possível abaixar do site da Fapesp um arquivo TXT com a relação de todos os domínios cadastrados (não havia um mecanismo simples de busca como temos hoje).

maio 29, 2009

[Segurança] PF prende mais de 100 cyber criminosos

A Polícia Federal prendeu, na manhã do dia 28/5, pelo menos 100 pessoas acusadas de diversos crimes financeiros na Internet ou com o uso dispositivos eletrônicos, como caixas automáticos, cartões de crédito e débito. A Operação Trilha aconteceu em 12 Estados brasileiros, além do Distrito Federal, e conta com a atuação de 691 agentes da Polícia Federal.

De acordo com a Polícia Federal, as investigações foram iniciadas há cerca de um ano e revelaram que integrantes da quadrilha utilizavam programas para capturar senhas bancárias de correntistas de vários bancos. Estes programas eram disseminados por meio de mensagens eletrônicas falsas (phishing). Em outra modalidade de crime, a quadrilha instalava câmeras próximas de caixas automáticos para filmar o usuário digitando sua senha , ao mesmo tempo em que outro dispositivo clonava os dados do cartão (o chamado "chupa-cabra"). De posse dos dados bancários, os criminosos realizavam transferências de valores para contas de "laranjas", compravam produtos pela Internet e realizavam pagamentos de boletos bancários. Segundo a PF, o montante desviado ainda não foi apurado, mas segundo dados apurados, apenas um dos investigados teria supostamente desviado mais de R$ 1 milhão.

A ação é resultado de investigações contra 15 grupos distintos, formados por vários tipos de golpistas, como crackers que furtavam senhas de Internet Banking e faziam transferências ilegais. 139 mandatos de prisão foram emitidos. O Superintendente da Polícia Federal no DF, Disney Rosseti, revelou que foram investigadas mais de 500 pessoas e identificados 1.500 cidadãos comuns que emprestavam nome, conta corrente e cartão de crédito para os criminosos lavarem o dinheiro (normalmente através de pagamento de boletos). "Boa parte do crime seria impossível sem a participação do cidadão comum. Essas pessoas serão indiciadas por formação de quadrilha e furto perante fraude", afirmou.

A sociedade e os usuários de Internet agradecem.

maio 27, 2009

[Cidadania] Brasileiro trabalha quase 5 meses só para pagar os tributos

O UOL Economia publicou uma vídeo reportagem muito interessante denunciando que o "brasileiro trabalha quase 5 meses só para pagar tributos".

Segundo a reportagem, o Brasil é um dos países com maior carga tributária em todo o mundo (a reportagem lista um total de 11 impostos cobrados pelo governo), e lembra que essa enorme quantidade de dinheiro arrecadado não retorna a população em forma de benefícios e muito menos em termos de serviços públicos de qualidade.

Cinco meses de salário (ou o equivalente ao período de 1º de janeiro a 27 de maio) são equivalentes ao montante necessário para que os brasileiros paguem os impostos, taxas e contribuições devidos - direta ou indiretamente. Ou seja, quase metade de tudo o que o trabalhador receber em 2009 vai direto para os cofres dos governos municipais, estaduais e federal.

maio 18, 2009

[Cyber Cultura] Censo da Twittosfera brasileira

De 12 de maio a 12 de junho (de 2009) estão realizando o primeiro Censo do uso do Twitter no Brasil, o #140br, com o objetivo de coletar dados estatísticos para uma aproximação demográfica da Twittosfera brasileira.

Dois dias depois de lançado já foram apresentados os dados parciais baseados nas primeiras 1.226 respostas ao censo. Até o momento, o Twitteiro brasileiro é um rapaz (quase 60% dos respondentes declararam o sexo masculino) entre 19 e 24 anos (quase 45% das respostas), paulista (quase 45%) da capital São Paulo (mais de 1/5 das respostas até o momento).

Novidades sobre o censo e os resultados parciais podem ser acompanhados em tempo real pelo Twitter @censobr. Os organizadores prometem que os resultados obtidos serão publicados sob a licença Creative Commons permitindo sua utilização para qualquer finalidade.

Os Mexicanos já fizeram uma pesquisa semelhante e com resultados muito interessantes. O censo dos Twitteros Mexicanos traz um resultado parecido com as parciais apresentadas aqui no Brasil: a maioria dos twitteiros são homens (lá, corresponde a quase 3/4, ou para ser preciso, 76% das respostas), na mesma faxa etária (37% tem de 19 a 24 anos) e a capital federal (Cidade do México, o principal pólo econômico e cultural do país) concentra a maioria dos Twitteiros (37% das 790 respostas). Eles também destacam que, segundo uma outra pesquisa sobre os usuários na América Latina baseada no twittercounter, a América Latina e a Espanha correspondem a apenas 1,93% dos usuários do Twitter no mundo, sendo que os países latino-americanos com maior presença são o Brasil (cerca de 11 mil usuários), com quase o dobro do segundo colocado, o México (com 5.634 usuarios). A Argentina é o terceiro país mais conectado no Twitter, com 3.367 usuarios.

[Cyber Cultura] Álbum de Fotos da NASA

Expedition 19 Soyuz Rollout
Expedition 19 LaunchEu já havia feito um post aqui há um tempinho atrás sobre a maravilhosa galeria de fotos espaciais disponibilizada pela NASA.

Hoje eu vi o álbum de fotos da NASA no Flickr, que também possui centenas de imagens disponibilizas pela agência espacial americana. O álbum tem algumas fotos interessantes do espaço e das missões, além de disponibilizar também várias fotos de atividades, eventos e press conferences da agência.

maio 06, 2009

[Cyber Cultura] Chuck Norris, O Criador e os perfis divertidos no Twitter

O pessoal do IDG NOW! publicou em fevereiro uma lista muito legal com os 20 perfis cômicos do Twitter, que são perfis falsos de pessoas ou personagens famosos de filmes, desenhos ou seriados. A reportagem lista perfis nacionais e internacionais que se destacam pela criatividade, ironia, sarcasmo e humor das pessoas que os mantém.

Dos 20 listados, me chamaram a atenção os perfis falsos do Chuck Norris (que tem uma lista muito engraçada de "verdades sobre Chuck Norris", da mesma forma que o site brasileiro www.chucknorris.com.br), CNN Breaking News (com notícias falsas), do poderoso Jack Bauer, Darth Vader, Peixe da Erica (muito bem bolado, um peixe beta comenta de dentro de um aquário o seu dia-a-dia e a vida da "humana" que mora com ele - como diz a biografia, "I am Erica's fish. Erica is a human. I am a fish."), Mussum Alive e O Criador, o mais divertido de todos na minha opinião (a reportagem não menciona, mas OCapeta também tem um perfil muito engraçado no Twitter!).

Falando em listas de coisas engraçadas, o IDG NOW! também publicou hoje uma lista dos 10 vídeos mais vistos no YouTube. Além de vários video clips, há o vídeo da Susan Boyle (em 5º lugar) e, num merecido 4º lugar, o engraçadíssimo vídeo do "Achmed the Dead Terrorist", do super talentoso ventríloquo americano Jeff Dunham (abaixo).

maio 05, 2009

[Segurança] Relatório global de ameaças da Symantec

Conforme vários sites tem notificado recentemente, a Symantec lançou em meados de Abril o seu relatório anual sobre as Ameaças de Segurança na Internet (Internet Security Threat Report Volume XIV) referente ao ano de 2008.

O relatório é enorme, e apresenta um panorama completo das ameaças eletrônicas em todo o mundo no ano de 2008. No site da Symantec é possível abaixar o relatório completo, um "resumo" de 19 páginas e quatro relatórios setoriais sobre a América Latina, Ásia + Pacífico + Japão (APJ), Europa e Oriente Médio (EMEA) e um sobre as ameaças aos governos e serviços de infra-estrutura pública. O site também disponibiliza um webcast e uma apresentação em Flash sobre o relatório.

Este relatório contém (provavelmente) milhares de dados estatísticos sobre as ameaças virtuais, cyber ataques e SPAMs, o que tem feito a felicidade dos profissinais da área e jornalistas, que podem basear seus trabalhos em dados concretos sobre o cenário mundial de ameaças.

A revista Decision Report publicou recentemente alguns dados:
    Table 1. New malicious code signatures
  • O roubo de informações de cartão de crédito no Brasil representa 32% das invasões na Internet realizadas pelos cibercriminosos por meio de códigos maliciosos
  • Os bancos brasileiros respondem por 19% de crimes digitais
  • O Brasil ocupa o 5º lugar no ranking global de ataques (no ano passado era a 12ª posição).
  • O Brasil também ocupa a liderança em atividades maliciosas na América Latina, contabilizando 34% do total (somos o 5º no mundo).
  • Os Estados Unidos ocupa a liderança no ranking de origem dos ataques, com 25% de todos os ataques detectados contra alvos mundiais.


Também somos o 5º país com maior atividade maliciosa, atrás dos EUA, China, Alemanha e inglaterra. Nós representamos 4% das atividades globais.

Um último dado estatístico que eu achei muito curioso é que Buenos Aires é a cidade com maior quantidade de micros infectados por botnets em todo o mundo, representando 4% do total mundial. Já a China é o país com maior número de hosts infectados por bots, com 13% do total.

maio 01, 2009

[Segurança] Um pouco mais sobre a gripe suína

Policemen in Seattle wearing masks made by the Red Cross, during the influenza epidemic. December 1918. Source: National Archives
Já há vários sites com matérias e notícias interessantes sobre como a gripe suína pode afetar as empresas e como elas podem se preparar.

Uma reportagem recente da INFO Online lista as últimas pandemias da história, mas deixa de fora a SARS (também chamada de gripe aviária, de 2003) e a "avian flu" que ocorreu em 2006 (dessa eu nem lembrava):
  • 1918 e 1919 – Gripe espanhola: A primeira pandemia do século XX foi também, segundo os historiadores, a pior pandemia do século. Ela surgiu no período de 1918 a 1919 e contaminou de 20% a 40% da população mundial, matando mais de 40 milhões de pessoas. No Brasil, cerca de 300 mil pessoas faleceram, matando até o Presidente da República da época, Rodrigues Alves, durante seu segundo mandato, em 1919.
  • 1957-1958 – Gripe asiática: O vírus H2N2 fez suas primeiras vítimas na China, onde teve seu primeiro isolamento. Em dois meses, a doença se espalhou por Hong Kong, Singapura, Índia e todo o Oriente. Depois foi a vez de África, Europa e, por último, Estados Unidos. Em dez meses, o vírus se espalhou por todo o mundo e o número de vítimas mortais chegou a dois milhões.
  • 1968-1969 Gripe de Hong Kong.

Mas, voltando a falar sobre prevenção e Business Continuity Plan, eu encontrei uma série de artigos muito interessante da CSO Online:
  • "Swine Flu: To Fear is to Fail", discutindo a diferença entre preocupação com o problema (e necessidade de prevenção) versus Pânico (que é o que ocorre na maioria das vezes);
  • o EXCELENTE artigo "Pandemic Preparedness Primer" com uma extensa e rica lista de recursos e informações sobre como empresas e empregados podem atualizar ou desenvolver seus planos de continuidade de negócio (business continuity plans) imediatamente

Além do mais, para ajudar as empresas, entidades e pessoas a organizarem seus esforços de combate a pandemia de gripe, o governo americano criou o website PandemicFlu.gov com muita informação disponível online para ajudar no rápido desenvolvimento de estratégias, planos e ações. Há vários guias, artigos, templates e checklists disponíveis gratuitamente no site.

[Cyber Cultura] Fotos Excelentes !

abril 29, 2009

[Segurança] 20 cenas estranhas na RSA Conference

A ChannelWeb publicou em seu site 20 fotos de situações engraçadas ou inusitadas clicadas no enorme pavilhão de exposições da RSA Conference 2009, que aconteceu na semana passada em São Francisco.

A conferência é um dos maiores eventos de segurança dos EUA e do mundo, onde as principais empresas de segurança vão apresentar suas novidades através de palestras muito interessantes e do enoooooorme pavilhão de exposições. Conversei com alguns amigos que foram lá nesse ano e eles disseram que, embora a quantidade de pessoas ficou um pouco abaixo dos anos anteriores, ainda assim a conferência foi muito boa.

O vídeo abaixo, disponibilizado no web site do evento, mostra várias cenas da conferência.

abril 28, 2009

[Segurança] A Gripe Suína e a Segurança

Lombo Suíno Resfriado A INFO Online publicou um artigo muito bom, chamado "Sua empresa está pronta para uma pandemia?", resumindo o impacto que uma pandemia de gripe suína pode causar em uma corporação.

Há poucos anos atrás passamos um susto com o surgimento da gripe aviária, originária da China. Agora, uma epidemia de gripe suína ameaça se espalhar pelo globo, causada pelo vírus influenza A/H1N1 e tendo como ponto de partida o México (e, para piorar, também os Estados Unidos).

O "Centers for Disease Control and Prevention" reportava 64 casos confirmados nos EUA em 28 de Abril e a Organização Mundial da Saúde lista mais 6 outros países com casos confirmados: Mexico (26 casos e 7 mortos), Canada (6), Nova Zelância (3), Inglaterra (2), Israel (2) e Espanha (2). Também é possível acompanhar todos os relatos da doença em um mapa, pelo Google Maps (os pontos em roxo são casos confirmados, os rosas as suspeitas e os amarelos os negativos).

Os gestores de risco de todo o mundo já devem estar atualizando seus planos de continuidade de negócio (PCN) e começando a se preparar para um cenário de pandemia, onde os funcionários são o principal foco de preocupação. As empresas mais diretamente afetadas são as multinacionais que possuem operações em vários países, dos quais os países que possuem foco da doença, além das empresas onde os profissionais estão constantemente viajando ao exterior, e portanto se expondo a se contaminarem com uma doença em outro país. Nestes casos as empresas podem ser obrigadas a rever suas necessidades de viagem e de deslocamento de pessoal, além de optar mover suas operações críticas para países com menor risco de infecção. Além do mais, em caso de uma epidemia, os funcionários podem ser obrigados a se isolarem em suas casas, e nesse caso a empresa tem que ser capaz de operar com os funcionários trabalhando remotamente (uma realidade que está longe das empresas nacionais). Existem dezenas de tecnologias que permitem o trabalho remoto (ou Home Office) de forma segura, mas o problema brasileiro é cultural: o empresário e o chefe querem ver o funcionário perto deles, sob sua vigilância. Neste caso, o que fazer se eventualmente o governo decretar que os moradores de uma determinada área de risco não devem sair de suas casas? Ou se o transporte público for comprometido?

Além do mais, é necessário planejar a contingência do pessoal. O que fazer se o funcionário ficardoente, ou se for impossibilitado de trabalhar pois um de seus familiares está infectado? A epresa tem que definir quais são as áreas de negócio e funções prioritárias e definir quais funcionários são responsáveis por elas, e se há alguém que possa substituí-los.

Como se isso não bastasse, vários cyber criminosos já estão se aproveitando da gripe para enviar mensagens de SPAMS e e-mails de Phishing imitando notícias e criando sites falsos. Segundo a McAfee, as mensagens sobre a gripe suína já representam 2% do total dos SPAMS.

abril 23, 2009

[Cyber Cultura] Britânica vira hit na Internet e dá uma lição de vida

A apresentação da britânica Susan Boyle no programa "Britan´s Got Talent" virou um hit na web e virou notícia. Com 47 anos de idade, desempregada, originária de uma pequena vila na Escócia, ela sonha em ser uma cantora profissional.

Ela chegou humilde e foi zombada pelos jurados. Mas a apresentação dela é, para mim, uma lição de vida e eu me arrepio ao assitir.



O vídeo acima, do UOL, está com legendas. Há uma versão maior, de 7 minutos, que mostra um pouquinho também dos bastidores antes e depois da apresentação (mas está sem legendas).

[Carreira] Networking e empregabilidade

Um estudo bem interessante lançado recentemente pela Impacta e publicado no site da Info Online mostra o que vários de nós já suspeitávamos: Uma boa ndicação (ou "QI" - Quem Indica) é responsável por empregar 64% dos funcionários em TI.

Segundo uma pesquisa realizada pelo Grupo Impacta Tecnologia, a grande maioria (64%, para ser exato) das contratações que ocorrem no setor de TI no Brasil são fruto de indicações de outros funcionários. Em segundo lugar, com 49% das respostas, vem a busca nos sites especializados em bancos de currículo.

Ou seja, a melhor forma de buscar um novo emprego é através da sua rede de relacionamentos, e portanto o famoso "networking" é fundamental. O estudo não diz o porque dessa preferência, mas eu tenho uma opinião baseada na minha experiência pessoal, contratando e sendo contratado. A principal vantagem de uma indicação é que normalmente a pessoa que indica está também atestando a qualidade do profissional (partindo-se do princípio que ninguém indica alguém que não conhece e que não confia). Ou seja, a indicação geralmente representa que o candidato é conhecido e que deve possuir um bom histórico profissional. Normalmente quem indica conhece o trabalho e a seriedade da pessoa sendo indicada. Esta é uma informação muito preciosa para o selecionador. Um curriculum nada diz sobre a seriedade, o profissionalismo e o comportamento do profissional no dia-a-dia. Uma indicação diz.

Outro dado interessante do estudo mostra que os profissionais de tecnologia estão permanecendo por pouco tempo nas empresas, cada vez menos. Em 2003, 21% dos profissionais tinham menos de três anos de casa, o que que saltou para 50% na mesma pesquisa atual. Ou seja, as empresas tem que enfrentar uma grande rotatividade de profissionais e os profissionais, por sua vez, estão permanecendo cada vez menos tempo nas empresas. Já fazem vários anos que o fato da pessoa ter "muitos anos de casa" deixou de ser algo comum e, segundo alguns, nem é mais vantajoso. Já li artigos onde mencionavam que o profissional que permanece muitos anos numa mesma empresa pode ser visto como "acomodado".

Não acredito que devemos nos guiar por modismos, estatísticas nem rótulos, mas a volatilidade dos empregos é algo que faz parte de nossa realidade. Então, a melhor sugestão que eu posso imaginar é: mantenham sempre um olho no mercado, o CV atualizado e cultivem a amizade com seus colegas de profissão.

março 31, 2009

[Segurança] Todos de orelha em pé por causa do Conficker

Ele já apareceu na Globo e na CBN.



O vírus Conficker (também chamado de Downadup por alguns fabricantes de anti-vírus) já infectou milhões de computadores no mundo inteiro desde seu surgimento em março, mas agora ele está recebendo um destaque grande da mídia pois alguns especialistas descobriram através de análise reversa do código que ele está programado para amanhã, dia 01/04, entrar em contato com os seus servidores (que controlam a botnet criada pelo vírus). Se isto se confirmar, milhões de máquinas vão tentar acessar estes servidores, o que pode representar um aumento significativo no tráfego Internet em todo o mundo e, de quebra, o risco de que estes vírus recebam algum comando do seu controlador, solicitando que eles realizem algum ataque ou façam alguma atividade maliciosa.

Diversos fabricantes, entidades e profissionais têm se esforçado para divulgar as informações sobre o que é esta praga e como se prevenir. A lista é extensa, mas gostaria de destacar alguns sites:

Uma referência final que eu quero destacar é a página do Conficker Working Group, que foi formado pelas principais empresas de segurança para centralizar informações sobre o combate ao vírus.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.