Segurança da (sua) Tecnologia da Informação e Comunicação

Apesar de o Brasil ser um dos que mais crescerão em investimentos de TI e Telecomunicações, maior que Coréia e Índia, o País ainda é imaturo no uso de infraestrutura. Esse é o resultado do estudo Brazil Infrastructure Maturity X-Ray, divulgado nesta quarta-feira, 23/09, pela Accenture e IDC.

De acordo com as respostas das 150 grandes empresas ouvidas com mais de 1.000 funcionários, o País está no nível 2,4 de maturidade enquanto a média mundial está em 3 e, em alguns casos, 4. A avaliação foi com base nas melhores práticas de TI, como ITIL e COBIT. A metodologia utilizada foi baseada em OMM (Operations Maturity Model), que analisa os níveis de 1 a 5 – informal, repetido, definido, controlado e otimizado) tanto em hardware, software e serviços.

Ainda, conforme o resultado da pesquisa, o País está engatinhando em Green IT, Segurança da Informação e Delivery. “Isso significa que o usuário não está satisfeito com aquilo que a TI entrega. Embora a política e procedimentos para identificação do usuário do sistema teve atingido uma média razoável (2,8) o Pais está muito aquém nos critérios para o usuário acessar o sistema - média de 1,6 -. Isso quer dizer que a política existe, mas não é praticada”, diz Jesus Lopez Aros, responsável pela coordenação do estudo pela Accenture.

Aros explica que um dos indicadores de qualidade do gasto em TI está relacionada à relação entre os gastos discricionários e não Discricionários. As melhores práticas indicam uma concentração de pelo menos 40% em gastos de estratégias e melhorias do orçamento em TI e o restante são os gastos para manter a operação funcionando. Desses 40% gastos em estratégias é possível fazer correções mais rápidas e aumentar a qualidade da TI. Isso são as empresas de alta performance.

“No Brasil, detectamos que 35% são em gastos dicricionários e 65% para girar a engrenagem de TI. Isso se deve a diversas razões ainda há muitas ineficiências e gastos para manter a máquina funcionando (incidentes, colocar um sistema no ar, etc.). No fundo isso compromete o orçamento de TI”, conta Aros.

Como o principal direcionador para gerir a TI é a adoção do ITIL, uma vez que as soluções atuais já chegam aderentes para esse padrão – 50% dos entrevistados disseram que conhece razoavelmente bem o padrão, os outros 50% responderam que domina a biblioteca de melhores práticas. De acordo com a pesquisa, o ideal seria que 75% deles dominassem.

Fonte: Decision Report

Insegurança sem precedentes na web. Essa é a principal conclusão apontada pela IBM em seu Relatório de Tendências e Riscos X-Force 2009, referente ao 1º semestre. Segundo o estudo, o número de links nocivos na Internet cresceu mais de 500% nos seis primeiros meses do ano.

O relatório também mostra um aumento na presença de conteúdo nocivo em sites de alta credibilidade e confiabilidade, incluindo mecanismos de busca populares, blogs, painéis de divulgação, sites pessoais, revistas online e importantes sites de notícias.

Outra tendência apontada é o fato dos hackers utilizarem métodos cada vez mais sofisticados para obter acesso e manipular dados dos usuários. Isso é demonstrado pelo alto nível de explorações na web ainda não detectadas, especialmente em arquivos PDF. As vulnerabilidades nesse formato no primeiro semestre já ultrapassaram as descobertas em todo o ano de 2008.

A segurança na web não é só mais um problema de navegador ou do cliente. Os criminosos estão aproveitando alguns aplicativos web que não são seguros para atacar os internautas. A pesquisa identificou um aumento significativo de ataques a aplicativos com o objetivo de roubar e manipular dados e, assim, assumir o comando de computadores infectados.

Um exemplo são os ataques de injeção SQL, nos quais criminosos injetam o código nocivo em sites legítimos, geralmente com o propósito de infectar os visitantes. O relatório registrou um aumento de 50% nessa prática do quarto trimestre de 2008 para o primeiro trimestre de 2009, e praticamente o dobro dessas ações do primeiro para o segundo trimestre deste ano.

Segundo o estudo, os Cavalos de Tróia respondem por mais da metade de todos os novos malwares, com um índice de 55%. Isso significa um aumento de 9% em relação ao primeiro semestre de 2008. Dentre os diversos tipos de Cavalos de Tróia, aqueles que roubam informações são os mais disseminados.

Os analistas acreditam que os Cavalos de Tróia voltados à atividade bancária estão assumindo o lugar dos ataques de phishing voltados aos alvos financeiros. No primeiro semestre de 2009, 66% do phishing foi direcionado ao setor financeiro, abaixo dos 90% de 2008. Os alvos de pagamentos online responderam por 31%.

Após ser praticamente extinto em 2008, o spam baseado em imagem retornou, respondendo por quase 10% de todos os spams.

Quanto às ações de combate a essas ameaças, 49% de todas as vulnerabilidades descobertas no primeiro semestre de 2009 não tiveram correção disponibilizada pelo fornecedor até a conclusão do estudo.

Fonte: Decision Report

O spam continua sendo uma ameaça para os usuários da Internet. De acordo com o Relatório da Symantec sobre Spam publicado em setembro, o email não desejado representou mais de 87% do todo o correio eletrônico a nível mundial, o que comprova a importância das empresas estarem mais conscientes sobre o dano potencial a que estão expostas e fortaleçam as medidas tecnológicas e políticas internas para evitar que isso afete seus funcionários e parceiros de negócios, além de por em risco a operação do seu negócio.

Entre as tendências que a Symantec identificou durante o mês de agosto está o fato de que as pequenas empresas, também afetados pela crise econômica, experimentaram uma diminuição de gastos por parte dos consumidores e, em conseqüência, aumentaram a quantidade de promoções, especialmente durante as férias de inverno, festividades e mudanças de temporada, situação que os spammers aproveitaram.

Vale mencionar que Brasil (12%), Colômbia (2%) e Argentina (2%) ficaram entre os dez primeiros lugares da lista mundial de países que geraram mais spam ou mensagens não desejadas durante o mês passado. Se a Argentina e Brasil figuraram na lista do mês passado, a Colômbia está entrando pela primeira vez nesse ranking.

Além disso, os spammers estão encontrando novas maneiras de evitar os filtros. Uma delas é uma técnica conhecida como “spoofing”, que cria uma URL muito similar ao de uma marca ou empresa conhecida para que os usuários entrem no site e forneçam seus dados pessoais.

Outra forma dos spammers evitarem os filtros de spam é por meio do uso de palavras e expressões comuns, como saudações (“Olá” e “Como vai”) e notificações de erros (como “Mensagem devolvida, Erro”).

Fonte: Symantec

O especialista no sistema de blogs Wordpress Guilherme Aguiar afirmou que foi fácil invadir sem uma senha o sistema de blogs do portal R7, que foi ao ar no último domingo.

O coordenador de interface e integração de serviços da equipe Xemelê, do Ministério da Cultura, ganhou acesso ao sistema apenas entrando na página de administração do serviço. Se a Record não tivesse bloqueado os endereços, posts e informações dos usuários poderiam ser danificados.

INFO Online - Como você teve a idéia de acessar as páginas de login do sistema de blogs? Já sabia que era Wordpress?

Aguiar - Eu já sabia que o R7 iria utilizar o WordPressMU em seus blogs e, por curiosidade, resolvi fazer alguns testes básicos de segurança. Começo digitando “/wp-admin” logo após a terminação do endereço do site. Já na primeira tentativa, conseguimos logar.

INFO Online - A administração era geral ou só de um blog específico? Que estrago poderia fazer por lá?

Aguiar - Quando loguei pela primeira vez, a administração era somente para um blog, o Blog do Rubens Ewald Filho. Neste caso, eu estava com nível de administrador somente para este blog e tinha permissão de administrador para apagar o conteúdo, comentários, alterar o tema, editar plugins, enfim, fazer o que quisesse. Fiz outras tentativas para ver se era um problema somente nesse blog, mas também consegui acessar os blogs da Fabiola Reipert e do Edu Guedes.

Para minha surpresa, no Blog do Edu Guedes o usuário apareceu como administrador geral, com permissão para inclusive excluir e criar novos blogs.

INFO Online - Como conseguiu entrar sem a senha?

Aguiar - Suponho que o problema ocorreu por eu estar logado em um site em WordPress no meu computador. Ao fazer o teste no site do R7, ele logou acidentalmente por estar compartilhando a mesma chave de autenticação, provavelmente a padrão, assim como ocorre na integração do bbPress com o WordPress.

Vale a pena ressaltar que seria importante o R7, antes do lançamento, ter seguido algumas dicas importantes de segurança. Ou mesmo ter consultado os membros da comunidade oficial do WordPress no Brasil.

Fonte: Info

Um hacker de 28 anos se declarou culpado por um dos maiores crimes de roubo de identidade da história e deixou uma juiza com a dúvida: como compensar as milhões de vítimas do criminoso?

Documentos do processo, aberto em agosto, já indicavam que o réu Albert Gonzalez, de Miami, iria confessar as acusações formalizadas em Massachusetts e em Nova York de que ele teria liderado uma rede mundial de crackers responsável pelo roubo de mais de 40 milhões de números de cartão de crédito e débito.

As lojas em que as informações foram roubadas incluem a TJX Cos, controladora da T.J. Maxx e Marshalls, além da BJ´s Wholesale Club e da OfficeMax.

Gonzalez também enfrenta as mesmas acusações no estado de New Jersey.

Os casos chamaram a atenção para a vulnerabilidade dos sistemas de pagamento e pressionou redes de cartões e bancos a atualizarem seus sistemas.

Pela primeira vez em público, desde o fechamento do acordo de confissão, Gonzalez parecia mais humilde do que da última vez em que esteve no tribunal, há um ano.

Durante a audiência da semana passada, ele deu respostas curtas enquanto a juíza Patti Saris analisava as 20 acusações às quais admitiu culpa. Em certo momento, ele reconheceu ter usado o nickname ” segvec” na internet, como afirmam os procuradores no documento.

Gonzalez pode passar até 25 anos na prisão.

A juíza divulgará a sentença em dezembro, mas primeiro deve analisar como as autoridades podem compensar as vítimas, incluindo lojas, bancos e milhões de pessoas afetadas.

Fonte: Info

Teste de segurança do sistema eletrônico de votação

O Tribunal Superior Eleitoral (TSE) aprovou por unanimidade, na sessão administrativa do dia 30 de junho de 2009, a realização de teste público de segurança no sistema eletrônico de votação para verificar possíveis vulnerabilidades no sistema, ou seja, se ele está sujeito a eventuais violações ou fraudes.

O teste para as eleições de 2010 deverá ocorrer no período entre 10 e 13 de novembro deste ano, nas dependências do TSE, e vai colocar à prova o sistema eletrônico, por meio de tentativas a serem feitas para burlar seus programas.

A participação nos testes está aberta a toda a sociedade brasileira. Informações adicionais estão disponíveis no Edital dos testes. O TSE convida a participarem, em especial, profissionais das áreas de tecnologia da informação e engenharia.

Os resultados dos testes serão analisados e divulgados por uma comissão formada por membros externos à Justiça Eleitoral, denominada Comissão Avaliadora.

A Corte designou o ministro Ricardo Lewandowski para coordenar a realização do teste público de segurança.

http://www.tse.gov.br/internet/eleicoes/teste_seguranca.htm

Fonte: TSE

Se o recém-inaugurado Blog do Planalto não tem espaço para comentários, então, que outro site faça as honras da democracia: o ‘Blog do Planalto sem .gov’.

O novo site, a bem dizer, é um “clone” que replica o conteúdo do blog original em sua página, mas com a diferença de possuir um espaço de interação entre os usuários. Abaixo de cada postagem, há a opção de comentá-la, sem processo de aprovação.

As mensagens, os textos, os vídeos e até mesmo as “missões” são idênticos na original e na cópia. A única diferença, além do endereço, está no layout e na disposição dos elementos, que no ‘genérico’ são, ao menos por enquanto, um pouco mais simples.

Depois de uma turbulenta estréia na última segunda, o Blog do Planalto (o verdadeiro, com ´.gov’) esteve inacessível durante algumas horas por subestimar a quantidade de visitas que receberia. A equipe se preparava para seis mil visitas simultâneas, porém, logo pela manhã, o site caiu ao receber dez mil acessos ao mesmo tempo.

No dia do lançamento, por Twitter e outras páginas da rede, muitos usuários reclamaram da decisão da equipe do Governo Federal em não permitir a inserção de comentários em cada postagem. O “clone” parece ser uma resposta a isso.

Fonte: Info

O programador de internet Vinícius Camacho Pinto, 28, é um internauta que, como tantos outros, tem um nickname (apelido virtual) bastante conhecido e adora computadores –não fosse por um pequeno detalhe que o singularizou na noite de quarta-feira (19).

Camacho foi indiciado ontem pela Polícia Civil de São Paulo por invadir um endereço virtual de propriedade da Telefônica, cujo conteúdo trazia, de acordo com o programador, um banco de dados vulnerável com 1,3 milhão de clientes. Caso seja condenado, ele pode pegar entre um e quatro anos de prisão.

Entretanto, o internauta se defende: “se quisesse roubar dados, não teria ido à imprensa”. Procurada pela Folha Online, a Telefônica informou que não iria se pronunciar sobre o assunto. Em 10 de julho, K-Max concedeu uma entrevista ao “Estado de S.Paulo” para divulgar o defeito no site. Segundo ele, a falha foi corrigida no dia seguinte.

Virtualmente conhecido como K-Max, o programador conversou com a reportagem no começo da tarde de hoje. Ele informou que, há cerca de dois meses, localizou uma falha no site da Telefônica. Sem muita dificuldade, afirma ele, qualquer pessoa poderia modificar a URL da página da Telefônica para ter acesso ao banco de dados –que, além dos nomes, trazia números de telefone, RG e CPF dos usuários da companhia espanhola.

Questionado pela reportagem se tentou informar a Telefônica a respeito da falha antes da divulgação à imprensa, K-Max diz que “não sabia como entrar em contato com a companhia”.

“Eu, notando o tamanho da irresponsabilidade e da negligência da Telefônica em relação a uma falha daquelas, comecei a divulgar no [serviço de microblogs] Twitter. Criei um sitezinho com script [programação que executa uma sequência de comandos e tarefas], aonde era possível comprovar a existência dessa falha”, explica. “Se você colocasse o próprio nome ou o nome de um amigo, viria parcialmente os dados pessoais do seu amigo”.

K-Max informa que fez para que “a Telefônica corrigisse isso no dia seguinte. Foi o que o cara acabou fazendo, mas só depois que ganhou a mídia”.

Ação policial e críticas

O programador disse que a polícia apreendeu cinco computadores da sua residência –e chegou a elogiar os oficiais da Delegacia de Repressão a Crimes Cometidos por Meios Eletrônicos do Deic (Departamento de Investigações sobre Crime Organizado). “Foi uma surpresa, claro. Duas viaturas com gente armada, levando tudo”, diz K-Max. “O pessoal de crime virtual é super ponderado, foram super profissionais, justos”, observou.

“Mas eu lamento muito que a Telefônica esteja distorcendo os fatos”, dispara. “Eu estou vendo na mídia que a Telefônica disse que eu expus os dados dos clientes. Não, quem expôs foi a própria Telefônica. Ela está atribuindo a mim o erro dela, o cara que descobriu a negligência. Foi uma falha primária, ridícula, e eu não sou um gênio. Qualquer um poderia ter descoberto”, defende-se.

Quanto às outras acusações feitas pelo Deic –roubo de comunidades no Orkut e bloqueio de sites na Campus Party de 2008–, K-Max afirma que foram procedimentos semelhantes ao do descoberto pela Telefônica. “Seguem mais ou menos a mesma linha: a divulgação da falha para obrigar as empresas a corrigi-las. Se você tem uma falha, e ela está no underground, entre os hackers, essa falha pode ser explorada por gente mal-intencionada”, afirma.

“Para a Telefônica não tem recado. Estão querendo distorcer a verdade. Todo mundo já sabe que a Telefônica é negligente com a segurança”, observa.

Ele arremata sua defesa com um questionamento: “Qualquer pessoa que pega a reportagem [na qual anunciou a falha], percebe que a minha intenção era ajudar. Vale pensar em qual era a intenção. Se quisesse roubar os dados, eu iria avisar um jornalista? Isso desmonta a tese da Telefônica de que quis prejudicar. Não fui descoberto: eu avisei à imprensa.”

Fonte: Folha

Semana passada foi o senador Romero Jucá logo após ter com o ministro general Jorge Félix do GSI da Presidência da República. Desta vez foi o próprio Gabinete de Segurança Institucional.

Falhas na segurança do Planalto

Quem assistiu ao evento de lançamento do Pré Sal na última segunda-feira, 31/08/2009, deve ter percebido a falha que o Gabinete de Segurança Institucional (GSI) da Presidência da República cometeu.

Além do presidente Lula e sua esposa Marisa Letícia, estavam sentados em cadeiras no palco do evento ministros e outras autoridades do primeiro escalão do Executivo. A ministra Dilma e o presidente do Senado Federal José Sarney inclusive.

Além de uma manifestante conseguir abrir a faixa do manifesto bem à frente do palco entre a platéia também recheada de políticos e mais autoridades, dentre eles, Sergio Cabral - governador do Rio de Janeiro, José Serra – governador de São Paulo e Jacques Wagner – governador da Bahia, outro ativista do Greenpeace conseguiu subir ao palco e apertando a mão do presidente pousou em seu colo a mesma faixa amarela do manifesto.

Na foto percebe-se a cara de indignação, medo e dúvida de Luiz Inácio ao olhar para um membro do seu staff. Devia estar se perguntando o que poderia estar acontecendo. José Sarney preferiu olhar para outro lugar de tão incrédulo que estava. Deve ter pensado que era algum membro do movimento #forasarney

Pois vejamos então se ao invés da faixa amarela os manifestantes que conseguiram infiltrar-se ao evento de lançamento do marco regulatório de exploração do pré sal, estivessem portando pequenas armas. Poderia ser desde uma pequena pistola 22 para o que subiu ao palco e uma mini Pistouzi para a mulher que exibiu a faixa para a claque. A primeira arma de pequeno calibre poderia desferir um tiro certeiro à queima roupa na autoridade máxima do presidente do Brasil, enquanto que a outra manifestante a frente do palco poderia com uma rajada apenas de sua mini-sub metralhadora israelense dizimar pelo menos a primeira, segunda e terceira filas da audiência.

O mínimo quadro pós massacre seria então o de um presidente morto e grande parte de seu ministério e governadores estaduais também mortos.

Como o vice-presidente José Alencar não possui condições de dirigir o país, José Ribamar estaria novamente com as rédeas do Brasil.

Mas caso os dois insurgentes estivessem de posse de bombas o quadro já seria outro. E aí o Brasil estaria nas mãos de quem?

Já imaginaram isto acontecendo com Obama? Eu não! Vai ver que é por isso que Obama diz que Lula “é o cara”.

Exclusivo