Segurança da (sua) Tecnologia da Informação e Comunicação

A RSA, divisão de segurança da EMC anunciou os resultados da Pesquisa Global do ano de 2010 sobre a segurança on-line do consumidor, na qual foram entrevistados mais de 4.500 consumidores abordando o conhecimento desses quanto a ameaças on-line, as preocupações com a segurança de suas informações pessoais on-line e o desejo por maior proteção de identidade. Mais de 950 entrevistados na América Latina participaram da pesquisa, representando Brasil, Chile, Colômbia, México e Peru. Todos os entrevistados eram usuários ativos da Internet e, durante o mês anterior à pesquisa, 92% efetuaram uma transação bancária on-line, e 80% realizaram uma compra on-line.

Consumidores latino-americanos estão cientes das ameaças de phishing, mas relatam níveis maiores de ataques de phishing à medida que táticas de ataque tornam-se mais sofisticadas

Entre os consumidores da América Latina, 65% indicaram ter conhecimento dos ataques de phishing, percentual um pouco menor do que (76%) de todos os entrevistados. Eles também demonstraram um nível maior de preocupação com ataques de phishing do que outras regiões de todo mundo. Mais consumidores da América Latina (59%) declararam estar “muito preocupados” com a ameaça de phishing, comparados a 37% dos EUA e 29% da Europa.

Uma das descobertas mais significativas da pesquisa foi a porcentagem de consumidores na América Latina vítimas de ataques destinados de phishing, os quais são normalmente iniciados por e-mail. Em toda região, 31% afirmaram ter sido vítima de um ataque de phishing e, de todos os consumidores dos países da América Latina, o Brasil registrou as maiores taxas (41%), seguido pelo Peru (31%), México (30%), Chile (29%) e Colômbia (24%).

As preocupações dos consumidores com a segurança exprime um desejo por uma proteção de identidade em camadas O sistema bancário on-line continua oferecendo níveis significativos de conveniência para consumidores, com acesso rápido a contas correntes e poupança, capacidade para pagamento de contas de forma automática, transferência de fundos e realização de outras transações financeiras.

De maneira predominante, 94% dos consumidores na América Latina declararam estar preocupados com o acesso ou roubo de suas informações pessoais em um site bancário on-line, comparados aos usuários que acessam portais da área da saúde (66%), sites do governo (75%) e sites de sistemas de rede social (79%). Como resultado de suas preocupações com o sistema bancário on-line, 90% dos mesmos entrevistados também declararam que os bancos deveriam implementar um método mais rígido de segurança, além de nome de usuário e senha, para quando efetuarem log-in no site do sistema bancário on-line.

Quase por unanimidade, 96% declararam que esperavam que seus bancos monitorassem suas transações bancárias on-line.

A expectativa por métodos mais rígidos de segurança entre os consumidores da América Latina ficou muito na frente da média mundial. Quando esses consumidores foram questionados sobre como um método mais rígido de segurança teria impacto sobre sua confiança ao fazer transações on-line, 96% declararam que se sentiriam mais seguros, e 76% afirmaram que se sentiriam “significativamente” mais seguros. Esses percentuais são muito maiores se comparados a outras regiões, como Estados Unidos (somente 42%), Austrália (50%) e Ásia (45%).

Regente prosseguiu, “A fim de maximizar o pleno valor das vantagens que o mundo on-line pode oferecer, as empresas precisam adotar uma abordagem em camadas para a segurança on-line, com o intuito de proteger melhor as informações de seus clientes. As empresas que atualmente oferecem e consideram métodos mais rígidos de autenticação estão no caminho certo para conquistar a confiança dos consumidores. Maior confiança pode aumentar o volume de transações e ajudar a reduzir as perdas com fraudes.Para adquirir tal confiança, as empresas devem considerar a segurança como o principal fator para adoção de clientes”.

Impacto positivo

Normas bancárias on-line, que exigem métodos mais rígidos de autenticação, foram recentemente emitidas por empresas governamentais no Chile, Colômbia, México e Peru. Uma das objeções que os bancos podem ter contra a implementação de autenticação rígida é o impacto que ela poderá ter sobre a experiência do cliente.

No Chile, na Colômbia, no México e no Peru, 95% dos entrevistados são favoráveis a normas governamentais que exigem mais segurança em sistemas bancários on-line e, em toda região, 89% estavam dispostos a executar etapas adicionais, no momento que efetuassem log-in no sistema. No Brasil, único país onde foi feita a pesquisa sem tais normas, 95% dos entrevistados declararam que aprovariam se o governo implementasse uma norma que exigisse segurança adicional para o sistema bancário on-line.

Regente continuou, “As empresas caminham sobre uma corda bamba na tentativa de equilibrar segurança, conveniência, facilidade de uso e conformidade. Entretanto, os mesmos sistemas e procedimentos que os bancos implementam para aderir às novas normas podem contribuir significativamente para a satisfação do cliente”.

Fonte: RSA

As pessoas que deram ao mundo softwares para roubo de números de cartão de crédito estão usando classificados online para fazer contratações. São duas empresas que estão contratando anunciaram vagas online, disse Kevin Stevens, analista de informações sobre ameaças na SecureWorks, uma companhia de segurança que apresentou pesquisa sobre essas organizações na conferência de segurança na computação Black Hat, realizada perto de Washington.

O que elas procuram são pessoas dispostas a usar os códigos invasivos que elas oferecem para enviá-los como link a pessoas que podem se sentir inclinadas a clicarem neles. Os “empregados” contratados recebem pagamento a cada mil downloads do software maligno.

Um site, por exemplo, paga 180 dólares a cada mil downloads de malware a usuários de computadores nos Estados Unidos. O valor cai quando o download for feito por computador instalado em outros países. A empresa não paga por downloads em computadores russos, o que leva Stevens e outros a suspeitar fortemente de que, como outros sites semelhantes, ela esteja localizada na Rússia.

“Pagamos seus honorários por meio dos seguintes sistemas: Fethard, WebMoney, Wire, e-gold, Western Union (WU), MoneyGram, Anelik e ePassporte, e PayPal”, anuncia o site.

Stevens afirma que é impossível dizer quantos computadores foram infectados por essas empresas, mas calcula o número em milhões. Os profissionais de segurança da computação que formavam a audiência na palestra de Stevens chegaram a rir algumas vezes, diante do descaramento desses sites.

É difícil separar roubos que derivam desses sites de outras formas de crime na Internet, mas o FBI estima que os prejuízos causados por crimes de Internet reportados por indivíduos tenham atingido os 264 milhões de dólares em 2008. O relatório sobre 2009 ainda não foi divulgado.

O problema do cibercrime se agravou nos últimos três anos à medida que consumidores e empresas passaram a ter expostos na Internet dados valiosos tais como planos de negócios, números de cartão de crédito, informações bancárias e números de seguro social.

Fonte: Reuters

Organizações criminosas brasileiras, como o Primeiro Comando da Capital (PCC), de São Paulo, e o Comando Vermelho (CV), do Rio de Janeiro, estão fazendo uso das mesmas gangues de crimes informáticos dos Estados Unidos que prestam serviços à Al Qaeda, de Osama Bin Laden. Parece filme de ficção, mas não é. A informação consta de relatório assinado pelo norte-americano Anthony Reyes, consultor de combate a crimes informáticos e que presta serviços ao FBI, a polícia federal dos EUA, e à CIA, a central de inteligência norte-americana. Tais informações foram repassadas ao Comitê Sobre Crimes Eletrônicos da OAB-São Paulo e são confirmadas pelos seus representantes, Coriolano Camargo, 41 anos de idade, e Antônio Otero, 44.

Os dois advogados não promovem investigações mas montaram, em 2009, um centro de referência, na OAB-SP, que tem recebido resultados de investigações de todo o mundo sobre as movimentações do crime virtual no planeta. Isso envolve desde informes dos maiores consultores do governo dos EUA até policiais federais, promotores, procuradores, advogados e juízes.

Dados levantados sobre esse centro internacional de referência, comandado por Coriolano Camargo e Antônio Otero, revelam que os 20 maiores escritórios de advocacia de São Paulo já tiveram os seus computadores invadidos por piratas virtuais.“Um dos golpes que tem ocorrido é o envio de um e-mail falso, em nome da Associação dos Advogados de São Paulo, alertando falsamente que o prazo para que, digamos, o recurso de um determinado processo vai expirar.

Os advogados acabam ajuizando recursos sem ter de fazê-lo, o que antecipa decisões estratégicas. Já imaginou o que isso representa numa ação de R$ 5 milhões?.

E o que o PCC, o CV e Al Qaeda têm a ver com essa trama de cinema? Os advogados explicam que, segundo o relato de Anthony Reyes, que trabalha para a entidade International High Technology Crime Investigation Association http://www.htcia.org, hoje 50% do modelo de arrecadação monetária da Al Qaeda vem de crimes e extorsões praticadas no mundo virtual. Anthony Reyes achou conexões do PCC e do CV com os mesmos fornecedores de tecnologia de golpes da AlQaeda.

As atividades de Reyes no mundo são tão valorizadas que este ano ele foi contratado pelo governo da República Popular da China para montar um esquema anti-fraudes no portal do todo-poderoso Partido Comunista Chinês.

Um dos golpes que vem sendo tentado em todo o mundo, e no Brasil em particular, informou Anthony Reyes à OAB, é tentar roubar senhas de advogados e juízes. É aqui que o PCC estaria tentando operar. Como, por exemplo, ofertando bolsas de estudos para advogados brasileiros, nos EUA, em falsos portais em que a vítima importa um falso arquivo e ali bota os seus dados. São arquivos em programas JPG e PDF, que uma vez instalados roubam todas as senhas da vítima, ela terá todos os seus passos na navegação seguidos e copiados.

O advogado Coriolano Camargo diz que o esquema já é copiado por vários subgrupos criminosos. Ele revela que numa operação da Polícia Federal batizada de Pégasus, por exemplo, tanto PF quanto STF prolataram que os grupos de crimes informáticos que perecem face à lei rapidamente têm o seu espaço virtual ocupado por novos grupos. É uma vigilância constante, dos criminosos, sobre as potencialidades representadas por ocupar esses espaços. Mas o que mais nos preocupa é que esse número aumenta cada vez mais. Já temos 17 mil casos de crimes digitais julgados e condenados no Brasil.

Esse tipo de crime aumentou em São Paulo cerca de 200% entre 2007 e 2009. O que mais preocupa a OAB, no entanto, é o aumento da terceirização desse tipo de trabalho. No levantamento da OAB, o crime organizado tem pago um salário de R$ 2 mil mensais para quem empresta o IP do seu computador para um terceiro cometer crimes a partir dele.

Perguntados sobre alguns casos que envolvem tais grupos organizados, eles citam dois, sem obviamente revelar nomes: o de um criminoso que falsificou o e-mail de um ministro do governo Lula e usou esse e-mail para caluniar empresas e pessoas, anexando documentos lícitos com informações falsas; e um caso que chegou à OAB por meio do delegado federal Paulo Quintanilha da Silva, que chefia a seção de crimes informativos da PF, em Brasília. Trata-se de uma companhia aérea inglesa que foi ameaçada de ter todo o seu sistema de compras on-line barrado, caso não desembolsasse, para os criminosos, a soma de US$ 5 milhões. A empresa não pagou e seu sistema de compras foi barrado. O esquema envolvia criminosos com base no Brasil e na Ásia.

* Coriolano Aurélio de Almeida Camargo Santos.
Presidente do Comitê sobre Crimes Eletrônicos da OAB SP
Almeida Camargo Advogados Associados

Fonte: Risk Report

Bing! Information Design (BID), uma pequena empresa de Saint Louis, nos Estados Unidos, está processando a Microsoft por ter copiado seu nome ao batizar o buscador Bing.

Dedicada à criação de animações e gráficos digitais há mais de dez anos, a BID alega que, desde o lançamento do Bing, em junho, tem obtido dificuldades para se relacionar com outras companhias. Segundo seus advogados, a confusão de nome atrapalha a política de comunicação da empresa de menor expressão.

A Microsoft, por sua vez, afirma que não pode haver esta confusão, dado que os meios de atuação das duas empresas são bem diferentes.

Por meio de seu porta-voz, Kevin Kutz, a corporação comunicou: “Temos respeito a marcas de propriedade intelectual de outras pessoas e esperamos as próximas etapas no processo judicial”.

O rival no quesito buscas, Google, também passa por situação parecida devido à nomeação de seu sistema operacional móvel Android, ocorrida em 2008.

Logo que os primeiros aparelhos com o SO surgiram, uma pequena empresa americana chamada Android Data Corporation entrou com um processo requerendo uma multa de 94 milhões de dólares por uma suposta “cópia”. O caso ainda não foi encerrado.

Até o momento, não se sabe o que a BID pede à Microsoft no processo.

Fonte: Info

A Kaspersky Lab publicou um artigo retratando o ataque de cybercriminosos durante o período de festas de 2009. A popularização do e-commerce, incluindo compras por cartões de créditos ou sistemas de pagamento eletrônico, como PayPal e Webmoney nos Estados Unidos e União Européia foram alvos de ataque com programas maliciosos “universais” que interceptam diversos dados financeiros.

Dmitry Bestuzhev, Analista de Vírus Sênior da Kaspersky Lab para a América Latina demonstra o ataque em milhares de PCs infectados com o cavalo de tróia Trojan.Win32.Vilsel.qhw. Bestuzhev destaca ainda que até o último dia do ano, apenas seis das 40 empresas de segurança (15%) tinham detectado a ameaça, de acordo com o VirusTotal.

Fonte: Risk Report

Insegurança sem precedentes na web. Essa é a principal conclusão apontada pela IBM em seu Relatório de Tendências e Riscos X-Force 2009, referente ao 1º semestre. Segundo o estudo, o número de links nocivos na Internet cresceu mais de 500% nos seis primeiros meses do ano.

O relatório também mostra um aumento na presença de conteúdo nocivo em sites de alta credibilidade e confiabilidade, incluindo mecanismos de busca populares, blogs, painéis de divulgação, sites pessoais, revistas online e importantes sites de notícias.

Outra tendência apontada é o fato dos hackers utilizarem métodos cada vez mais sofisticados para obter acesso e manipular dados dos usuários. Isso é demonstrado pelo alto nível de explorações na web ainda não detectadas, especialmente em arquivos PDF. As vulnerabilidades nesse formato no primeiro semestre já ultrapassaram as descobertas em todo o ano de 2008.

A segurança na web não é só mais um problema de navegador ou do cliente. Os criminosos estão aproveitando alguns aplicativos web que não são seguros para atacar os internautas. A pesquisa identificou um aumento significativo de ataques a aplicativos com o objetivo de roubar e manipular dados e, assim, assumir o comando de computadores infectados.

Um exemplo são os ataques de injeção SQL, nos quais criminosos injetam o código nocivo em sites legítimos, geralmente com o propósito de infectar os visitantes. O relatório registrou um aumento de 50% nessa prática do quarto trimestre de 2008 para o primeiro trimestre de 2009, e praticamente o dobro dessas ações do primeiro para o segundo trimestre deste ano.

Segundo o estudo, os Cavalos de Tróia respondem por mais da metade de todos os novos malwares, com um índice de 55%. Isso significa um aumento de 9% em relação ao primeiro semestre de 2008. Dentre os diversos tipos de Cavalos de Tróia, aqueles que roubam informações são os mais disseminados.

Os analistas acreditam que os Cavalos de Tróia voltados à atividade bancária estão assumindo o lugar dos ataques de phishing voltados aos alvos financeiros. No primeiro semestre de 2009, 66% do phishing foi direcionado ao setor financeiro, abaixo dos 90% de 2008. Os alvos de pagamentos online responderam por 31%.

Após ser praticamente extinto em 2008, o spam baseado em imagem retornou, respondendo por quase 10% de todos os spams.

Quanto às ações de combate a essas ameaças, 49% de todas as vulnerabilidades descobertas no primeiro semestre de 2009 não tiveram correção disponibilizada pelo fornecedor até a conclusão do estudo.

Fonte: Decision Report

O spam continua sendo uma ameaça para os usuários da Internet. De acordo com o Relatório da Symantec sobre Spam publicado em setembro, o email não desejado representou mais de 87% do todo o correio eletrônico a nível mundial, o que comprova a importância das empresas estarem mais conscientes sobre o dano potencial a que estão expostas e fortaleçam as medidas tecnológicas e políticas internas para evitar que isso afete seus funcionários e parceiros de negócios, além de por em risco a operação do seu negócio.

Entre as tendências que a Symantec identificou durante o mês de agosto está o fato de que as pequenas empresas, também afetados pela crise econômica, experimentaram uma diminuição de gastos por parte dos consumidores e, em conseqüência, aumentaram a quantidade de promoções, especialmente durante as férias de inverno, festividades e mudanças de temporada, situação que os spammers aproveitaram.

Vale mencionar que Brasil (12%), Colômbia (2%) e Argentina (2%) ficaram entre os dez primeiros lugares da lista mundial de países que geraram mais spam ou mensagens não desejadas durante o mês passado. Se a Argentina e Brasil figuraram na lista do mês passado, a Colômbia está entrando pela primeira vez nesse ranking.

Além disso, os spammers estão encontrando novas maneiras de evitar os filtros. Uma delas é uma técnica conhecida como “spoofing”, que cria uma URL muito similar ao de uma marca ou empresa conhecida para que os usuários entrem no site e forneçam seus dados pessoais.

Outra forma dos spammers evitarem os filtros de spam é por meio do uso de palavras e expressões comuns, como saudações (“Olá” e “Como vai”) e notificações de erros (como “Mensagem devolvida, Erro”).

Fonte: Symantec

O especialista no sistema de blogs Wordpress Guilherme Aguiar afirmou que foi fácil invadir sem uma senha o sistema de blogs do portal R7, que foi ao ar no último domingo.

O coordenador de interface e integração de serviços da equipe Xemelê, do Ministério da Cultura, ganhou acesso ao sistema apenas entrando na página de administração do serviço. Se a Record não tivesse bloqueado os endereços, posts e informações dos usuários poderiam ser danificados.

INFO Online - Como você teve a idéia de acessar as páginas de login do sistema de blogs? Já sabia que era Wordpress?

Aguiar - Eu já sabia que o R7 iria utilizar o WordPressMU em seus blogs e, por curiosidade, resolvi fazer alguns testes básicos de segurança. Começo digitando “/wp-admin” logo após a terminação do endereço do site. Já na primeira tentativa, conseguimos logar.

INFO Online - A administração era geral ou só de um blog específico? Que estrago poderia fazer por lá?

Aguiar - Quando loguei pela primeira vez, a administração era somente para um blog, o Blog do Rubens Ewald Filho. Neste caso, eu estava com nível de administrador somente para este blog e tinha permissão de administrador para apagar o conteúdo, comentários, alterar o tema, editar plugins, enfim, fazer o que quisesse. Fiz outras tentativas para ver se era um problema somente nesse blog, mas também consegui acessar os blogs da Fabiola Reipert e do Edu Guedes.

Para minha surpresa, no Blog do Edu Guedes o usuário apareceu como administrador geral, com permissão para inclusive excluir e criar novos blogs.

INFO Online - Como conseguiu entrar sem a senha?

Aguiar - Suponho que o problema ocorreu por eu estar logado em um site em WordPress no meu computador. Ao fazer o teste no site do R7, ele logou acidentalmente por estar compartilhando a mesma chave de autenticação, provavelmente a padrão, assim como ocorre na integração do bbPress com o WordPress.

Vale a pena ressaltar que seria importante o R7, antes do lançamento, ter seguido algumas dicas importantes de segurança. Ou mesmo ter consultado os membros da comunidade oficial do WordPress no Brasil.

Fonte: Info

Se o recém-inaugurado Blog do Planalto não tem espaço para comentários, então, que outro site faça as honras da democracia: o ‘Blog do Planalto sem .gov’.

O novo site, a bem dizer, é um “clone” que replica o conteúdo do blog original em sua página, mas com a diferença de possuir um espaço de interação entre os usuários. Abaixo de cada postagem, há a opção de comentá-la, sem processo de aprovação.

As mensagens, os textos, os vídeos e até mesmo as “missões” são idênticos na original e na cópia. A única diferença, além do endereço, está no layout e na disposição dos elementos, que no ‘genérico’ são, ao menos por enquanto, um pouco mais simples.

Depois de uma turbulenta estréia na última segunda, o Blog do Planalto (o verdadeiro, com ´.gov’) esteve inacessível durante algumas horas por subestimar a quantidade de visitas que receberia. A equipe se preparava para seis mil visitas simultâneas, porém, logo pela manhã, o site caiu ao receber dez mil acessos ao mesmo tempo.

No dia do lançamento, por Twitter e outras páginas da rede, muitos usuários reclamaram da decisão da equipe do Governo Federal em não permitir a inserção de comentários em cada postagem. O “clone” parece ser uma resposta a isso.

Fonte: Info

O programador de internet Vinícius Camacho Pinto, 28, é um internauta que, como tantos outros, tem um nickname (apelido virtual) bastante conhecido e adora computadores –não fosse por um pequeno detalhe que o singularizou na noite de quarta-feira (19).

Camacho foi indiciado ontem pela Polícia Civil de São Paulo por invadir um endereço virtual de propriedade da Telefônica, cujo conteúdo trazia, de acordo com o programador, um banco de dados vulnerável com 1,3 milhão de clientes. Caso seja condenado, ele pode pegar entre um e quatro anos de prisão.

Entretanto, o internauta se defende: “se quisesse roubar dados, não teria ido à imprensa”. Procurada pela Folha Online, a Telefônica informou que não iria se pronunciar sobre o assunto. Em 10 de julho, K-Max concedeu uma entrevista ao “Estado de S.Paulo” para divulgar o defeito no site. Segundo ele, a falha foi corrigida no dia seguinte.

Virtualmente conhecido como K-Max, o programador conversou com a reportagem no começo da tarde de hoje. Ele informou que, há cerca de dois meses, localizou uma falha no site da Telefônica. Sem muita dificuldade, afirma ele, qualquer pessoa poderia modificar a URL da página da Telefônica para ter acesso ao banco de dados –que, além dos nomes, trazia números de telefone, RG e CPF dos usuários da companhia espanhola.

Questionado pela reportagem se tentou informar a Telefônica a respeito da falha antes da divulgação à imprensa, K-Max diz que “não sabia como entrar em contato com a companhia”.

“Eu, notando o tamanho da irresponsabilidade e da negligência da Telefônica em relação a uma falha daquelas, comecei a divulgar no [serviço de microblogs] Twitter. Criei um sitezinho com script [programação que executa uma sequência de comandos e tarefas], aonde era possível comprovar a existência dessa falha”, explica. “Se você colocasse o próprio nome ou o nome de um amigo, viria parcialmente os dados pessoais do seu amigo”.

K-Max informa que fez para que “a Telefônica corrigisse isso no dia seguinte. Foi o que o cara acabou fazendo, mas só depois que ganhou a mídia”.

Ação policial e críticas

O programador disse que a polícia apreendeu cinco computadores da sua residência –e chegou a elogiar os oficiais da Delegacia de Repressão a Crimes Cometidos por Meios Eletrônicos do Deic (Departamento de Investigações sobre Crime Organizado). “Foi uma surpresa, claro. Duas viaturas com gente armada, levando tudo”, diz K-Max. “O pessoal de crime virtual é super ponderado, foram super profissionais, justos”, observou.

“Mas eu lamento muito que a Telefônica esteja distorcendo os fatos”, dispara. “Eu estou vendo na mídia que a Telefônica disse que eu expus os dados dos clientes. Não, quem expôs foi a própria Telefônica. Ela está atribuindo a mim o erro dela, o cara que descobriu a negligência. Foi uma falha primária, ridícula, e eu não sou um gênio. Qualquer um poderia ter descoberto”, defende-se.

Quanto às outras acusações feitas pelo Deic –roubo de comunidades no Orkut e bloqueio de sites na Campus Party de 2008–, K-Max afirma que foram procedimentos semelhantes ao do descoberto pela Telefônica. “Seguem mais ou menos a mesma linha: a divulgação da falha para obrigar as empresas a corrigi-las. Se você tem uma falha, e ela está no underground, entre os hackers, essa falha pode ser explorada por gente mal-intencionada”, afirma.

“Para a Telefônica não tem recado. Estão querendo distorcer a verdade. Todo mundo já sabe que a Telefônica é negligente com a segurança”, observa.

Ele arremata sua defesa com um questionamento: “Qualquer pessoa que pega a reportagem [na qual anunciou a falha], percebe que a minha intenção era ajudar. Vale pensar em qual era a intenção. Se quisesse roubar os dados, eu iria avisar um jornalista? Isso desmonta a tese da Telefônica de que quis prejudicar. Não fui descoberto: eu avisei à imprensa.”

Fonte: Folha