Segurança da (sua) Tecnologia da Informação e Comunicação

Um computador torna-se “zumbi” quando é infectado por um vírus ou cavalo de Tróia que permitem que cibercriminosos assumam o controle da máquina. Geralmente, os “zumbis” são utilizados para gerar spam ou lançar ataques de negação de serviço, como ocorreu recentemente com o Twitter e o Facebook, ou mesmo para atacar outros computadores sem que o usuário saiba. Em recente pesquisa realizada por especialistas em Segurança na Internet do McAfee Labs, a conclusão foi de que as cidades com mais computadores infectados são Rio de Janeiro, no Brasil, Nova Iorque, nos Estados Unidos, e em Toronto, no Canadá.

Os dados coletados têm por base o número de endereços IP infectados nestas regiões específicas. O IP é o endereço numérico usado pelo computador quando ele se conecta à Internet, mais ou menos o mesmo que um número de telefone representa na lista telefônica. A alta concentração urbana nessas cidades, a popularização da Internet e a falta de uma proteção antivírus confiável podem ser fatores para que essas cidades estejam no topo da lista.

Basta uma pessoa equipada com um pendrive ou um computador infectados para que os “zumbis” assumam o controle de uma máquina. Especialistas em segurança incentivam os consumidores a adquirir pacotes completos de software de segurança e manter as assinaturas atualizadas para evitar a invasão.

Fonte: VOIT / UOL

Um argentino que resolveu jogar videogame no horário de trabalho – e demitido por essa causa – vai ganhar uma bolada da concessionária de veículos em que trabalhava.

O argentino, cujo nome é mantido em segredo, não gostou da atitude do ex-chefe, já que se divertia com o console Playstation quando a loja estava vazia, sem clientes. Por isso, processou a empresa pela demissão.

E os juízes do Ministério do Trabalho da Argentina, Hector Guisado e Oscar Zas, responsáveis pelo caso, lhe deram ganho de causa. E mais. Disseram ao chefe que o fato do funcionário jogar Playstation durante o trabalho não é tão grave a ponto de uma demissão.

Segundo os dois juristas, o chefe poderia ter tido bom senso e simplesmente dado uma bronca ou um aviso formal sobre a prática de jogar videogame durante o expediente.

Conclusão: o dono da concessionária, além da bronca do juiz, terá que pagar 225 mil pesos ao ex-funcionário – cerca de 100 mil reais.

Fonte: Info

Hackers criaram um vírus que ataca o iPhone secretamente, controlando o smartphone por meio de conexões à internet, alertaram analistas.

O vírus foi detectado na Holanda e só ataca iPhones cujos usuários desabilitaram algumas funções de segurança pré-instaladas, de acordo com analistas que monitoram o vírus, conhecido como Duh Worm.

Os hackers estão tentando usar o vírus para obter senhas de banco na Holanda, segundo Graham Cluley, pesquisador da Sophos. Quando um usuário do iPhone tenta acessar um site de banco, o Duh Worm direciona o navegador para uma página falsa controlada pelos hackers.

Os aparelhos vulneráis a ataque são aqueles “abertos”, nos quais os usuários desabilitam ferramentas de segurança fundamentais da Apple que impedem algumas atividades.

Por exemplo, a Apple impede que usuários mudem de provedor de serviço para operadoras não autorizadas e que eles instalem qualquer um dos cerca de 100 mil programas vetados pela fabricante.

Três analistas de segurança independentes disseram que é melhor que os usuários não desabilitem essas funções porque os riscos de segurança são muito maiores do que os possíveis benefícios.

Esta é a primeira vez que iPhones são usados para criar uma “botnet”, ou rede de dispositivos infectados controlados por hackers.

Fonte: Info

A crise financeira global aumentou o interesse de CEOs pela Segurança da Informação. O motivo se deve porque, segundo a Computer Associates, as prioridades deles vão desde proteger a marca, gerenciar o caixa, rodar operações enxutas, atender as regras de compliance, aproximar os clientes até reter os seus melhores talentos.

Segundo a pesquisa, os incidentes de segurança causam uma perda média de aproximadamente US$ 418 mil, com a maioria deles reportando perdas superiores a US$ 500 mil.

As decisões de compras de soluções de segurança estão, hoje, diluídas, não mais na mão dos CFOs ou CIOs: 15% das aquisições são feitas pelo CIO ou VP de TI; 16% área de segurança, 14% por solicitação do próprio CEO ou pelo comitê administrativo, 13% nas mãos da área de Recursos Humanos.

RISCO

Das seis prioridades dos CEOs, a segurança da informação está muito presente no gerenciamento do caixa, evitando a falta de liquidez. Entretanto, rodar operações enxutas não significa simplesmente fazer mais com menos, mas quais os custos operacionais em duplicidade.

Da mesma forma, antes da crise global, muitas organizações estavam fazendo IPOs e retomarão no próximo ano porque 82% dos share holders preferem investir em empresas que estão compliance, segundo dados da Ernest Young.

Proteger e crescer a marca também é uma preocupação do CEO, uma vez que escândalos e vazamento de informações colocam o negócio em risco e nem os presidentes das empresas querem ver os seus nomes atrelados a situações que os exponham.

Blindar o negócio não basta

Um arsenal tecnológico pronto para proteger a empresa de ataques externos. Mas e as políticas internas, os colaboradores? Mais uma vez, o elo mais frágil são as pessoas, principalmente em momentos em que há grandes chances de cortes de pessoal. De acordo com o estudo patrocinado pela CA, 67% das empresas de médio porte e 73% das grandes corporações acreditam que as demissões aumentaram o risco das ameaças internas aos sistemas de TI.

Fonte: Decision Report

Esperei exatamente o término dos testes de tentativas de quebra da segurança do sistema de votação eletrônica brasileiro referente às urnas informatizadas para escrever este artigo.

Apesar de inscrever-me no processo não fui à Brasília por motivos óbvios atrelados à crise financeira que ainda flutua em algumas regiões. E também por saber que luminares da segurança estariam por lá; inclusive o pessoal das Forças Armadas onde a equipe da Marinha do Brasil muito dignamente formalizou pedido de não constar entre os eventuais agraciados com as premiações.

Tentou-se de tudo nesta primeira vez que a Justiça Eleitoral possibilitou que o público em geral verificasse a confiabilidade do sistema, ou seja, se ele estaria sujeito a eventuais violações ou fraudes. Apesar de nenhum teste ter conseguido violar a urna e os programas, as idéias apresentadas pelos especialistas podem contribuir para o aperfeiçoamento tecnológico da votação.

As três idéias consideradas mais relevantes para o aprimoramento do sistema eletrônico de votação serão premiadas hoje, sexta-feira (20), em cerimônia no Hotel San Marco, em Brasília (DF), a partir das 10h. Antes disso, às 9h30, o ministro Ricardo Lewandowski fará apresentação dos testes de segurança na urna eletrônica e nos componentes do sistema de votação que serão utilizados nas eleições de 2010.

A ISSA Brasil (Information System Security Association) participou dos testes tentando provar que seria possível um eleitor votar mais de uma vez por eleição. Além de não ter conseguido seu intuito declarou ser o sistema “bastante robusto”.

Bastantes robustos também são considerados os carros blindados da Polícia Militar do Rio de Janeiro, mais conhecidos por nós como “caveirões” do BOPE. Também eram resistentes a tiros de fuzis calibre 5,56 mm (AR15) e 7,62 mm (FAL). Até que os traficantes descobriram que ele é vulnerável a tiros de calibre .50 ou algo semelhante.

Acho que o problema dos testes com as urnas eletrônicas é que na sua grande maioria foram focados no software. Não vi nenhuma referência ao hardware.

Quando o TSE – Tribunal Superior Eleitoral – começou a divulgar este concurso lembrei-me de uma das minhas primeiras aulas na faculdade de informática lá nos anos 90. Um professor visionário fez a seguinte pergunta para a turma:

- Vocês imaginam o que poderia acontecer se um hacker ou pessoa mal intencionada adentrasse um CPD com um dispositivo de pulso magnético ou até mesmo um imã? E plantasse este imã perto de algum ativo de rede ou até mesmo sob um servidor de missão crítica?

Vamos adaptar esta pergunta para a realidade das urnas:

- O que aconteceria a uma urna eletrônica se uma pessoa durante o seu momento reservado e único de votação plantasse sob a urna tal dispositivo?

Participei de todas as votações eletrônicas realizadas no Brasil como simples eleitor e jamais vi qualquer tipo de verificação por parte da equipe compulsoriamente convocada ao trabalho de secretário, mesário e presidente de zona eleitoral. Querem mais é que o dia passe rápido para poder curtir o que ainda resta dele após ter trabalhado de graça para o governo. Já fui mesário na época das eleições em papel e tiro e falo por mim somente. Também nunca vi nenhum equipamento detector de metais.

Se em um país como os EUA foi possível derrubar as torres gêmeas o que poderia ocorrer por aqui?

- O que aconteceria a uma urna eletrônica se logo abaixo de seu chassi fosse grudado um dispositivo de pulso magnético programado para entrar em funcionamento logo após o fim do pleito? Qual seria o plano de contingência? Tem plano B? Ou o povo teria que ser convocado novamente para uma nova eleição?

Esta viagem na maionese serve apenas para exemplificar que segurança da tecnologia da informação e comunicação não versa apenas sobre software. É um conjunto de fatores físicos e lógicos que devem ser levados em consideração. Pois; será que as urnas são suficientemente blindadas? O caveirão também era até que,…, coitados dos mesários e secretários.