Segurança da (sua) Tecnologia da Informação e Comunicação

RIO - O vírus Conficker continua se espalhando pelo mundo a uma velocidade alarmante, sete meses depois de a Microsoft ter liberado a atualização do Windows que impede sua atuação. Segundo estimativas da Symantec, o worm infecta 50 mil computadores por dia. O Brasil é um dos países mais afetados, ao lado de Estados Unidos e Índia.

“O Conficker/Downadup parece ter perdido boa parte da atenção da mídia, mas ainda está por aí, se espalhando amplamente”, afirmam os pesquisadores da Symantec.

O worm conhecido como “Conficker” ou “Downadup” invade computadores privados e redes corporativas, educacionais e públicas graças a uma falha no Windows. A Microsoft liberou uma correção para a vulnerabilidade em outubro de 2008, mas o malware continua a se disseminar mesmo assim, pois muitos usuários, especialmente em pequenas empresas, não instalaram a atualização.

A Microsoft reforça a necessidade de se instalar a atualização, que pode ser encontrada no link http://www.microsoft.com/brasil/technet/security/bulletin/MS08-067.mspx .

Vermes como o Conficker se espalham pela internet criando grandes redes de “computadores-
zumbis” (botnets) que passam a responder às ordens dos hackers que iniciaram o ataque, muitas vezes sem o dono da máquina sequer tomar conhecimento da infecção. As botnets podem ser utilizadas para enviar grandes quantidades de spam ou roubar informações pessoais dos usuários dos PCs.

Fonte: O Globo

A família de cavalos de troia Wimad usa arquivos de música padrão Windows Media para invadir computadores.

Conforme a Symantec, o Wimad é um cavalo de troia que se instala no micro e baixa arquivos remotos da internet. Chega ao computador na forma de um arquivo de áudio com DRM (proteção de direitos autorais) adulterada.

Quando executado, o arquivo envia uma solicitação a um servidor e recebe de volta um arquivo .htm que abre uma janela do browser e carrega outro arquivo .htm de novo endereço web. Este último arquivo, por sua vez, abre uma terceira página HTML de outro domínio.

Após esse longo passeio pela internet, o cavalo de troia exibe uma mensagem que pode ser algo como: “Obrigado pelo download deste arquivo. Clique em PLAY em ouça”; ou “Você deve clicar em SIM para ter acesso”.

Se o usuário clica em PLAY ou SIM, o invasor baixa e executa uma série de arquivos, também de várias origens. São outros cavalos de troia, programas espiões e ainda um adulterador de resultados de busca.

Segundo o blog Microsoft Malware Protection Center, a família de programas maliciosos Wimad é a sétima mais ativa no período de maio de 2008 a abril último, com a média de 1,5 milhões de casos mensais e pico em dezembro e janeiro, com cerca de 2,5 milhões cada.

Fonte: Info

Como garantir que as melhores mentes da sua empresa não se sintam desestimuladas e acabem
procurando oportunidades mais desafiadoras? Para o Google a resposta está, como sempre, num algoritmo O gigante da internet está “combinando dados de relatórios de funcionários e históricos de pagamentos e promoções em uma fórmula matemática que o Google acredita que poderá identificar quais de seus 20 mil funcionários tem mais tendência de sair”, segundo reportagem do Wall Street Journal (WSJ).

A compahia de internet, emprego dos sonhos de muitos, está sofrendo com seu próprio gigantismo, com funcionários deixando o barco por sentir que não fazem mais a diferença numa empresa que perdeu o frescor de iniciante. Nas últimas semanas o Google já perdeu o gerente de vendas Tim Armstrong e o de publicidade David Rosenblatt.

Representantes do Google não dão detalhes sobre a fórmula, que ainda está em testes. Segundo o WSJ, no entanto, já foi possível “identificar funcionários que se sentem subutilizados, uma reclamação chave entre os que pensam em sair”

O objetivo principal do algoritmo é “entrar na cabeça das pessoas antes que ela saibam que podem nos deixar”, diz Laszlo Bock, responsável pelos recursos humanos da empresa. Ouvido pelo WSJ, Edward Lawler, diretor do Centro de Organizações Efetivas da Universidade do Sul da Califórnia, disse que o Google é um pioneiro no uso de dados quantitativos para a tomada de decisões sobre
pessoal.

- Eles estão claramente a frente do seu tempo, mas várias companhias estão acordando para o fato de que existem vários modelos que podem fornecer dados cruciais para o capital humano - diz Lawyer.

Fonte: O Globo

Roma - Um aparelho que capta as ondas cerebrais dos soldados e permite que eles se comuniquem no campo de batalha sem utilizar o recurso da voz é a mais nova criação em teste do Departamento de Defesa Americano (Darpa, na sigla em inglês). O Silent Talk captura os sinais neurais do que o soldado está pensando e transmite a mensagem para os outros combatentes através de um conversor, o que evitaria problemas de diálogo entre os militares em meio aos ruídos de um combate. As informações são do jornal italiano La Reppublica.

A invenção pode ser resumida como a aplicação da telepatia entre os soldados. Segundo documento publicado na revista Wired, o ruído de explosões, o assovio das balas e todos os sons ensurdecedores das batalhas não comprometeriam mais a troca de informações entre os soldados.

O Pentágono se comprometeu em apoiar o projeto, investindo US$ 4 milhões, que serão somados a outros US$ 4 milhões que as Forças Armadas dos Estados Unidos também irão investir no desenvolvimento do sistema, para testar o aparelho - ou “computador mediado por telepatia”, como é feita a referência ao Silent Talk -, que será avaliado pela Universidade da Califórnia.

A idéia é que o equipamento capte a emissão de sinais da mente humana e traduza a mensagem utilizando um programa de edição de som, formando então a mensagem e repassando-a a outros Silent Talks, usados por outros soldados, permitindo assim o “silencioso diálogo” nas caminhadas de guerra, sem que precisem articular com a boca as palavras daquilo que querem dizer.

Os pesquisadores ainda trabalham no aprimoramento do sistema, capaz de decodificar esses sinais e transmití-los a uma curta distância. Futuramente, acreditam os criadores do Silent Talk, ele poderia até servir como interceptador dos pensamentos dos inimigos.

As informações são do Terra

Londres - Segundo Infosecurity Europe, maioria dos funcionários espera ganhar 1 milhão de libras para roubar informações dos empregadores.
Mais de um terço dos empregados roubariam dados confidenciais da empresa que trabalham caso o preço pago pelas informações compensasse o roubo, revela um estudo feito pela Infosecurity Europe.

Entre os que responderam que roubariam informações, 63% disseram que só roubariam se as informações valessem pelo menos 1 milhão de libras (3,22 milhões de reais, pelo câmbio do dia). Outros 10% disseram que fariam o “serviço” desde que suas hipotecas fossem pagas. Alguns, no entanto, disseram que roubariam os dados em troca de um almoço.

De todos os entrevistados, 68% disseram que roubar dados é fácil e 88% consideram que a informação a que tem acesso tem é valiosa.

“Criminosos usam a estratégia de procurar funcionários vulneráveis que podem ser tentados a trair seus empregadores. Por isso, as organizações devem garantir um bom treinamento a essas pessoas, para que elas protejam dados importantes, além de contar com tecnologia adequada e processos que ajudem as corporações a agir de acordo com as atuais leis”, disse Tamar Beck, diretor da Infosecurity Europe.

Fonte: IDG

As mensagens eletrônicas, popularmente chamadas de e-mails, poderão ser consideradas como prova documental, desde que protegidas por certificação digital. A Comissão de Ciência e Tecnologia do Senado aprovou nesta quarta-feira, 6, projeto de lei que dá autenticidade a documentos enviados à Justiça por meio de correio eletrônico (e-mail) para serem anexados em processos judiciais.

De acordo com o relator do projeto, senador Renato Casagrande (PSB-ES), a proposta contribui para remoção dos inconvenientes de uma legislação fragmentada. A proposição considera que recentes decisões, como a que autoriza os tribunais a comunicarem atos e processos por meio eletrônico, servem de respaldo para a iniciativa, já que o e-mail, transmitido pela Internet, “goza de presunção de veracidade quanto ao emitente e às suas declarações unilaterais”.

O texto do projeto pressupõe que as informações fornecidas pelo emitente da mensagem são verdadeiras, bem como a manifestação da sua vontade, desde que tenham certificação digital segundo as normas da Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

A matéria, que já havia sido aprovada pela Câmara e não recebeu emendas na comissão, ainda será apreciada pela Comissão de Constituição e Justiça (CCJ) antes de ser votada pelo plenário do Senado. As informações são da Agência Brasil e Agência Senado.

Fonte: TI Inside

Somente em março deste ano foram registradas mais de 218 mil incidentes pelo Comitê Gestor de Internet no Brasil. O volume já se aproxima do total registrado no ano de 2008, de 222 mil incidentes. Detalhe: uma das principais vulnerabilidades está na casa do usuário - portanto, fora do controle dos principais alvos: os bancos - e chama-se browser. Estima-se que 637 milhões de browser não tem atualização de antivírus, ou qualquer outra proteção de dados, e 30% dos PCs já estão infectados por meio do browser em função da desatualização.

Esses números, entretanto, não mostram que os ataques são feitos com destino certo. “A criação dos malwares são feitas para transações específicas de cada instituição”, informa Ricardo Marques, engenheiro de segurança senior da IBM. A sensação é de que os criminosos atuam conforme a corrida pela competição da segurança entre os bancos.

Gustavo José Costa Roxo da Fonseca, diretor setorial de tecnologia e automação bancária da Febraban, também tem essa percepção e faz uma analogia simples para retratar a importância da colaboração entre as instituições financeiras: “um mergulhador conta que quando surge um tubarão em alto mar é preciso nadar mais rápido que o companheiro ao lado para não ser pego”. Ou seja, a instituição não precisa ser melhor que hacker, mas melhor que concorrente ao lado para ficar menos vulnerável que ele. Roxo sinaliza, entretanto, que enquanto houver essa corrida pela segurança como um fator competitivo entre as instituições, quem tem mais chance de ganhar este jogo é o hacker (tubarão).

Ele ainda diz que a solução é adotar uma “ação orquestrada entre todos” do setor financeiro. A sensação é de que os bancos vão ter que dar as mãos para adotar práticas comuns de segurança. Mas a padronização não potencializará as ações dos hackers?

Roxo explica que não. “Ações estratégicas sempre serão únicas de cada instituição, porém, há processos e práticas que quando adotados pelo canal torna-se a muralha de segurança mais eficiente contra o ataque do criminoso”, explica.

O discurso da maioria das instituições é comum pela busca da colaboração entre eles. O desafio, entretanto, está na execução, que esbarra tanto nas questões culturais da competição como da própria legislação, exemplo disso é o sigilo bancário. Tudo indica que são essas questões culturais e legislativas que deverão ser colocadas na mesa de negociação entre as instituições financeiras para, enfim, colocar em prática a colaboração do setor contra as fraudes eletrônicas.

Fonte: Risk Report

Paris - Identificado como Hacker Croll, um hacker francês confirmou que invadiu o sistema administrativo de senhas do Twitter na última quarta-feira. O internauta conseguiu acessar as contas do serviço de microblog e entrar em perfis de cerca de 10 usuários. A confirmação foi feita por ele durante um fórum realizado na internet.

De acordo com o site do jornal britânico Telegraph, esta seria a primeira vez que alguém teria conseguido entrar no sistema interno de senhas do Twitter. O fundador do microblog, Biz Stone, disse que “o acesso não-autorizado foi adquirido externamente”, mas que “apenas 10 contas individuais foram invadidas durante o período de acesso ilegal”.

Após a descoberta, a administração do Twitter afirmou que vai reforçar suas medidas de segurança. Stone garantiu ainda que a identidade das pessoas cujas contas foram invadidas não serão divulgadas e disse ainda ter “certeza de que nenhuma conta do Twitter sofreu alteração ou remoção de dados”.

O Twitter pretende também realizar uma auditoria de segurança independente nos sistemas internos de administração. Segundo declarações dadas pelo hacker, ele disse ainda ter conseguido entrar nas contas após invadir o email do Yahoo do diretor do Twitter, Jason Goldman, de onde roubou os logins.

Hacker Croll também declarou que acessou contas de famosos, como o ator americano Ashton Kutcher, que detém uma das maiores legiões de seguidores do Twitter, e da cantora britânica Lily Allen. Os artistas, no entanto, não confirmaram a versão do hacker.

As informações são do Terra