Segurança da (sua) Tecnologia da Informação e Comunicação

Um hacker de 28 anos se declarou culpado por um dos maiores crimes de roubo de identidade da história e deixou uma juiza com a dúvida: como compensar as milhões de vítimas do criminoso?

Documentos do processo, aberto em agosto, já indicavam que o réu Albert Gonzalez, de Miami, iria confessar as acusações formalizadas em Massachusetts e em Nova York de que ele teria liderado uma rede mundial de crackers responsável pelo roubo de mais de 40 milhões de números de cartão de crédito e débito.

As lojas em que as informações foram roubadas incluem a TJX Cos, controladora da T.J. Maxx e Marshalls, além da BJ´s Wholesale Club e da OfficeMax.

Gonzalez também enfrenta as mesmas acusações no estado de New Jersey.

Os casos chamaram a atenção para a vulnerabilidade dos sistemas de pagamento e pressionou redes de cartões e bancos a atualizarem seus sistemas.

Pela primeira vez em público, desde o fechamento do acordo de confissão, Gonzalez parecia mais humilde do que da última vez em que esteve no tribunal, há um ano.

Durante a audiência da semana passada, ele deu respostas curtas enquanto a juíza Patti Saris analisava as 20 acusações às quais admitiu culpa. Em certo momento, ele reconheceu ter usado o nickname ” segvec” na internet, como afirmam os procuradores no documento.

Gonzalez pode passar até 25 anos na prisão.

A juíza divulgará a sentença em dezembro, mas primeiro deve analisar como as autoridades podem compensar as vítimas, incluindo lojas, bancos e milhões de pessoas afetadas.

Fonte: Info

Se o recém-inaugurado Blog do Planalto não tem espaço para comentários, então, que outro site faça as honras da democracia: o ‘Blog do Planalto sem .gov’.

O novo site, a bem dizer, é um “clone” que replica o conteúdo do blog original em sua página, mas com a diferença de possuir um espaço de interação entre os usuários. Abaixo de cada postagem, há a opção de comentá-la, sem processo de aprovação.

As mensagens, os textos, os vídeos e até mesmo as “missões” são idênticos na original e na cópia. A única diferença, além do endereço, está no layout e na disposição dos elementos, que no ‘genérico’ são, ao menos por enquanto, um pouco mais simples.

Depois de uma turbulenta estréia na última segunda, o Blog do Planalto (o verdadeiro, com ´.gov’) esteve inacessível durante algumas horas por subestimar a quantidade de visitas que receberia. A equipe se preparava para seis mil visitas simultâneas, porém, logo pela manhã, o site caiu ao receber dez mil acessos ao mesmo tempo.

No dia do lançamento, por Twitter e outras páginas da rede, muitos usuários reclamaram da decisão da equipe do Governo Federal em não permitir a inserção de comentários em cada postagem. O “clone” parece ser uma resposta a isso.

Fonte: Info

O programador de internet Vinícius Camacho Pinto, 28, é um internauta que, como tantos outros, tem um nickname (apelido virtual) bastante conhecido e adora computadores –não fosse por um pequeno detalhe que o singularizou na noite de quarta-feira (19).

Camacho foi indiciado ontem pela Polícia Civil de São Paulo por invadir um endereço virtual de propriedade da Telefônica, cujo conteúdo trazia, de acordo com o programador, um banco de dados vulnerável com 1,3 milhão de clientes. Caso seja condenado, ele pode pegar entre um e quatro anos de prisão.

Entretanto, o internauta se defende: “se quisesse roubar dados, não teria ido à imprensa”. Procurada pela Folha Online, a Telefônica informou que não iria se pronunciar sobre o assunto. Em 10 de julho, K-Max concedeu uma entrevista ao “Estado de S.Paulo” para divulgar o defeito no site. Segundo ele, a falha foi corrigida no dia seguinte.

Virtualmente conhecido como K-Max, o programador conversou com a reportagem no começo da tarde de hoje. Ele informou que, há cerca de dois meses, localizou uma falha no site da Telefônica. Sem muita dificuldade, afirma ele, qualquer pessoa poderia modificar a URL da página da Telefônica para ter acesso ao banco de dados –que, além dos nomes, trazia números de telefone, RG e CPF dos usuários da companhia espanhola.

Questionado pela reportagem se tentou informar a Telefônica a respeito da falha antes da divulgação à imprensa, K-Max diz que “não sabia como entrar em contato com a companhia”.

“Eu, notando o tamanho da irresponsabilidade e da negligência da Telefônica em relação a uma falha daquelas, comecei a divulgar no [serviço de microblogs] Twitter. Criei um sitezinho com script [programação que executa uma sequência de comandos e tarefas], aonde era possível comprovar a existência dessa falha”, explica. “Se você colocasse o próprio nome ou o nome de um amigo, viria parcialmente os dados pessoais do seu amigo”.

K-Max informa que fez para que “a Telefônica corrigisse isso no dia seguinte. Foi o que o cara acabou fazendo, mas só depois que ganhou a mídia”.

Ação policial e críticas

O programador disse que a polícia apreendeu cinco computadores da sua residência –e chegou a elogiar os oficiais da Delegacia de Repressão a Crimes Cometidos por Meios Eletrônicos do Deic (Departamento de Investigações sobre Crime Organizado). “Foi uma surpresa, claro. Duas viaturas com gente armada, levando tudo”, diz K-Max. “O pessoal de crime virtual é super ponderado, foram super profissionais, justos”, observou.

“Mas eu lamento muito que a Telefônica esteja distorcendo os fatos”, dispara. “Eu estou vendo na mídia que a Telefônica disse que eu expus os dados dos clientes. Não, quem expôs foi a própria Telefônica. Ela está atribuindo a mim o erro dela, o cara que descobriu a negligência. Foi uma falha primária, ridícula, e eu não sou um gênio. Qualquer um poderia ter descoberto”, defende-se.

Quanto às outras acusações feitas pelo Deic –roubo de comunidades no Orkut e bloqueio de sites na Campus Party de 2008–, K-Max afirma que foram procedimentos semelhantes ao do descoberto pela Telefônica. “Seguem mais ou menos a mesma linha: a divulgação da falha para obrigar as empresas a corrigi-las. Se você tem uma falha, e ela está no underground, entre os hackers, essa falha pode ser explorada por gente mal-intencionada”, afirma.

“Para a Telefônica não tem recado. Estão querendo distorcer a verdade. Todo mundo já sabe que a Telefônica é negligente com a segurança”, observa.

Ele arremata sua defesa com um questionamento: “Qualquer pessoa que pega a reportagem [na qual anunciou a falha], percebe que a minha intenção era ajudar. Vale pensar em qual era a intenção. Se quisesse roubar os dados, eu iria avisar um jornalista? Isso desmonta a tese da Telefônica de que quis prejudicar. Não fui descoberto: eu avisei à imprensa.”

Fonte: Folha

Até o fim do ano, o Conselho de Altos Estudos e Avaliação Tecnológica da Câmara dos Deputados deve concluir um estudo sobre crimes cometidos na internet. O deputado Colbert Martins (PMDB-BA), relator do estudo, acredita que o respaldo de especialistas e consultores legislativos sobre o assunto pode facilitar a aprovação do projeto que tipifica os crimes virtuais (PL 84/99).

A proposta tem levantado polêmica sobre privacidade no mundo virtual, porque obriga os provedores de acesso a guardarem, por três anos, dados da conexão do usuário, como hora, data e o chamado “endereçamento eletrônico”, para atender requisições da Justiça.

O projeto foi aprovado na Câmara, revisado no Senado e voltou à Câmara, onde tramita em regime de urgência em três comissões da Casa. Martins espera que, após a publicação do estudo, a proposta possa ser aprovada com mais facilidade pelo Plenário.

“Nós queremos que essa proposta seja colocada a voto. O que não dá é para querer colocar uma pedra no assunto. Está na hora de se definir o que são os crimes cibernéticos, porque eles estão acontecendo”, disse Martins.

O parlamentar alerta que é preciso punir com cuidado para não haver invasão de privacidade. “Mas, parado como está [o projeto], nós estamos prejudicando milhões e milhões de pessoas”, apontou.

O estudo do conselho sobre crimes cibernéticos e investigações digitais deve ser concluído até o fim do ano. O resultado será consolidado em uma publicação e também pode gerar a apresentação de projetos e sugestões ao governo. As informações são da Agência Câmara.

Fonte: TI Inside

Ameaças de phishing, utilizadas para roubar dados dos usuários, continuam a aparecer na lista de problemas da rede social Facebook.

Rik Ferguson, pesquisador da Trend Micro, avisa que novas tentativas de enganar os cadastrados no sistema parecem todos os dias. Só na última semana, o site neutralizou seis aplicativos falsos que ofereciam riscos aos visitantes.

A estratégia dessas farsas é fazer com que o usuário pense que está acessando conteúdo legítimo do sistema. Em alguns casos, o aplicativo pode levá-lo a uma página falsa de login do próprio Faceebook, onde acontece o roubo dos dados de cadastro.

A notificação “sex sex sex and more sex” traz aplicativos que prometem transmissões de vídeo e material adulto. Ao ativá-las, o navegador redireciona a página para um domínio chamado “fucabook.com”. Lá, um JavaScript garante que seus dados serão gravados no servidor da página maliciosa. Sem que o visitante perceba, sofre uma atualização automática mostrando o endereço oficial da rede social.

Em seu blog, Ferguson afirma que está em contato direto com o Facebook, mas a cada ameaça desabilitada, novas surgem para tomar o seu lugar. O problema pode estar relacionado ao pacote de alterações criado para facilitar a entrada de desenvolvedores na rede, como o Open Stream API.

Fonte: INFO

SÃO PAULO - As certidões de nascimento, casamento e óbito terão o mesmo modelo a partir do dia 1º de janeiro de 2010.

O modelo será impresso pela Casa da Moeda. Nele, haverá uma matrícula para cada cidadão que informará o número da Declaração de Nascido Vivo (DNV), do cartório de registro, além do livro e da folha. Além disso, o documento contará com um espaço para o oficial do cartório anotar dados importantes sobre a vida da pessoa: se ela casou, se divorciou, morreu.

A medida só será possível graças ao desenvolvimento do sistema de Cadastro Nacional de Cartórios. Nessa iniciativa, todos os cartórios do país serão conectados em rede para compartilhar a armazenar informações dos cidadãos num único banco de dados.

De acordo com Gilson Dipp, corregedor nacional de Justiça, graças aos algoritmos e à infra-estrutura tecnológica, as novas certidões serão à prova de falsificação. E, por conta da integração, os cidadãos poderão, de qualquer parte do país, solicitar uma segunda via do documento e fazer alterações, quando necessário. Hoje, esses processos somente são possíveis no cartório onde a certidão de nascimento foi registrada.

Quem tem o modelo de certidão antigo não precisará procurar o cartório para obter o novo, já que o velho continuará valendo. Os que, por alguma razão, precisarem da segunda via ou de alguma alteração no documento, receberão o novo modelo a partir de janeiro.

Fonte: INFO / Agência Brasil

A Microsoft entrou com um pedido formal na terça-feira, 18, para tentar suspender a proibição de venda do Word nos Estados Unidos, decretada pela Corte Distrital de Justiça do Texas (EUA), embora a empresa ainda tenha 60 dias para cumprir a determinação.

De acordo com o The Wall Street Journal, o pedido, registrado na Corte Federal de Apelação, sustenta que a medida pode causar “danos irreparáveis” aos negócios da companhia.

A sanção, proferida na semana passada, foi resultado da derrota em uma ação movida em 2007 pela i4i, desenvolvedora canadense de software para manipulação de documentos. A decisão inicial havia sido tomada no dia 20 de maio passado, e sustentava que a empresa de Bill Gates estava deliberadamente usando tecnologia patenteada pela i4i, a qual alegou que a Microsoft infringiu intencionalmente uma de suas patentes no Word e no sistema operacional Windows Vista.

A decisão não proíbe, contudo, que os usuários que já tinham o Word o usem, mas impede que a Microsoft venda as versões 2003 e 2007 do software, até que ele seja reestruturado.

O documento do pedido afirma que o Word é peça central na linha de produtos da Microsoft e, portanto, interromper sua venda durante meses causará danos nos quais a empresa pode não conseguir se recuperar. Também é salientado que a decisão pode prejudicar uma série de fabricantes de PCs que revendem o processador de textos, como a Dell e a HP.

Loudon Owen, CEO da i4i, declarou que o apelo da Microsoft já era esperado, mas acha que a decisão do júri foi correta e justa.

Fonte: TI Inside

Symantec detecta que Twitter está sendo utilizado por Botnets

Uma das ameaças envolvidas no ataque via botnet é um Cavalo de Tróia que rouba senhas e utiliza a interfaces iguais as de alguns bancos brasileiros.
Como já foi informado pelo tweet recentemente postado, o Symantec Security Response – unidade da Symantec responsável pela detecção de ameaças online – está monitorando uma botnet que usa o Twitter como estrutura de comando e controle para distribuir malwares e batizou a ameaça identificada como Downloader.Sninfs. O malware, que está sendo baixado pelo Downloader.Sninfs, é conhecido pela Symantec como Infostealer.Bancos. O principal objetivo da distribuição deste malware é permitir que criminosos virtuais roubem senhas, neste caso por meio de sites de phishing que imitam o de conhecidos bancos brasileiros.

Este é um novo meio que os autores de ameaças virtuais estão utilizando para roubarem informações. Apesar do Twitter.com estar sendo utilizado neste caso, existem uma série de outros websites que também poderiam servir como vetor para infecções. A investigação e análise dessa ameaça pelo Symantec Security Response demonstrou que os computadores infectados estavam seguindo o Twitter “Upd4t3” (já suspenso pela rede social) por meio de um RSS, e que essa conta de Twitter também estava enviando outras informações de sistema comprometidas onde diferentes ameaças podiam ser baixadas. Essencialmente, o arquivo de RSS do Twitter estava atuando como um arquivo de configuração para o malware.

Até o presente momento não foram identificados comandos adicionais que possam baixar arquivos enviados pelo RSS do Twitter.com, mas continua a investigação para confirmar se de fato trata-se de uma botnet.

Os clientes da Symantec já estão protegidos contra as ameaças Downloader.Sninfs e Infostealer.Bancos. A Symantec recomenda que todos os usuários de computador mantenham seus softwares de segurança atualizados com as últimas definições, conservem seus sistemas sempre limpos e continuem se protegendo também por meio de medidas preventivas padrão. Essas medidas são principalmente não aceitar “amigos” ou pedidos para “seguir” de pessoas que não conheça ou confie dentro dessas redes sociais. Também aconselha-se que os usuários não cliquem em links the fontes não-confiáveis e criem senhas fortes para acessar redes sociais e outros sites da Internet, a fim de evitar que os criminosos digitais consigam acessar informações confidenciais.

O Symantec Security Response continua monitorando a situação. Para mais informações sobre as ameaças, acesse: Downloader.Sninfs e Infostealer.Bancos. A Symantec também criou um blog para atualizar os usuários sobre eventuais novidades a respeito das ameaças. Para acessá-lo, clique aqui.

Fonte: Symantec

A CPI da Pedofilia do Senado assinou nesta terça-feira, 4, um termo de cooperação mútua com a Associação Brasileira das Empresas de Cartões de Crédito e de Serviços (Abecs), Polícia Federal e Ministério Público Federal para prevenir e combater transações ilegais de compra e venda de pornografia infantil pela internet.

Segundo Thiago Oliveira, presidente da SaferNet Brasil, entidade sem fins lucrativos que atua na prevenção de crimes cibernéticos, que também assinou o acordo, a parceria servirá para identificar empresas e consumidores de pornografia infantil virtual por meio de transações financeiras realizadas com cartões de crédito.

Na prática, as empresas de cartões de crédito serão informadas pela Polícia Federal de empresas envolvidas na prática do crime de comercialização de pornografia infantil. Com isso, será feito o descredenciamento dessas empresas e poderá ser feito o levantamento das pessoas que mantiveram transações financeiras

De acordo com Oliveira, já foram identificados mais de 2,5 mil sites, a maioria hospedados fora do Brasil, que comercializam o acesso a imagens com pornografia infantil. O termo de cooperação também prevê a realização do cruzamento de dados de páginas suspeitas no Brasil, a criação de novas ferramentas para coibir a pornografia infantil virtual e uma campanha de educação e prevenção contra esse tipo de crime.

Um acordo semelhante já foi assinado nos Estados Unidos em 2006 e criou uma espécie de coalizão financeira dos principais bancos e bandeiras de cartão de crédito norte-americanos com o objetivo de dificultar as transações ilegais de compra e venda de imagens pornográficas e de sexo explícito envolvendo crianças e adolescentes. A Inglaterra também assinou acordo com o mesmo teor, no ano passado. As informações são da Agência Brasil.

Fonte: TI Inside

Apesar de o prazo para entrega dos arquivos da Escrituração Contábil Digital (EDC) ao Fisco encerrar no próximo dia 30, muitas empresas ainda estão na fase inicial ou ainda não iniciaram a implantação do sistema. De acordo com pesquisa realizada pela consultoria Deloitte, cerca de 80% das empresas consultadas estão obrigadas a entregar a ECD até o fim deste mês, mas desta parcela cerca de 27% não estão com os processos totalmente implantados.

“Muitas empresas não tinham conhecimento do tempo e da complexidade dos subprojetos do Sistema Público de Escrituração Digital (Sped). Além do atendimento aos requerimentos do Sped, as empresas devem ter uma grande preocupação com a consistência e qualidade das informações que vão entregar ao Fisco”, afirmou Carolina Velloso Verginelli, gerente da área de consultoria tributária da Deloitte.

Com relação à ECD, ela diz que é importante ressaltar a impossibilidade de retificação do arquivo enviado através do Sped. Assim, qualquer incorreção somente poderá ser ajustada no próximo exercício. A não apresentação da ECD no prazo fixado acarretará em multa de R$ 5 mil por mês ou fração, podendo, eventualmente, levar ao arbitramento do lucro da empresa. Em relação às inconsistências das informações as penalidades podem ser ainda maiores, dependendo dos reflexos tributários dela decorrentes.

Ainda no que diz respeito ao estágio atual de implantação, o levantamento da Deloitte revela que quase um quarto das empresas obrigadas a entregar a Escrituração Fiscal Digital (EFD) até 30 de setembro ainda está em estágio inicial ou ainda não iniciou o projeto. “Apesar do prazo para adequação ao Sped Fiscal ser maior, o trabalho de implantação é bem mais complexo, devido ao grande volume de dados exigidos”, completou Carolina.

No que se refere à Nota Fiscal Eletrônica (NF-e), o estudo mostra que cerca de 14,6% das empresas que precisam se adequar até 30 de setembro deste ano ainda estão em fase inicial do projeto. A próxima etapa da NF-abrange 54 importantes setores da economia, entre eles, cosméticos, informática e produtos de limpeza. O não cumprimento desta obrigação resultará em penalidade ainda maior, a impossibilidade de a empresa emitir documento fiscal em papel, paralisando, assim, suas atividades.

A pesquisa evidencia, ainda, que a maioria das empresas não está confortável com relação ao cadastro de participantes (clientes e fornecedores) e itens. Do ponto de vista tributário, 48,8% apontam não estar totalmente seguras quanto à qualidade das informações geradas e deve fazer uma análise, monitoramento e eventual ajuste de seu sistema. “Sentimos uma grande preocupação das empresas em gerar os arquivos no layout requerido pela legislação. No entanto, esse é apenas o meio de envio, enquanto que a essência está na certeza da qualidade dos dados”, comentou Carolina.

Outro dado do estudo que revela incertezas quanto à consistência dos dados está no fato de que quase 34% das empresas não têm segurança de que todas as informações contidas nos seus ERPs (sistemas de gestão empresarial) serão migradas adequadamente para o Sped.

Na pesquisa, duas consequências trazidas pelo Sped foram apontadas com maior frequência. O cruzamento eletrônico de informações aparece em 77% das respostas, seguido pelo aprimoramento dos controles fiscais, com 65%. “As empresas, especialmente de setores sensíveis à sonegação, vêem o processo de forma positiva, pois acreditam que o Sped vai permitir uma competição mais

justa”, conclui Carolina.

Segundo o relatório, a redução da sonegação fiscal e a melhora na competitividade aparecem com 62% e o aumento da arrecadação com 57% das respostas relativas à conseqüência trazida pelo Sped.

O estudo da Deloitte foi realizado entre 25 de maio e 22 de junho e contou com a participação de 78 empresas que atuam no país.

Fonte: TI Inside