Segurança da (sua) Tecnologia da Informação e Comunicação

A cada segundo um fornecedor de infraestrutura crítica é alvo de um ciberataque, afirma uma pesquisa divulgada nesta quinta-feira pela empresa de software de segurança McAfee.

Hackers frequentemente têm sucesso em ataques contra empresas, afirmam especialistas em segurança, mas as companhias que são alvo dessas incursões raramente as revelam porque temem prejudicar suas reputações e incentivar os criminosos.

Por conta disso, o anúncio do Google de que foi alvo de um “altamente sofisticado ataque dirigido” na China ganhou tamanho destaque este mês.

Para a pesquisa da McAfee, o Centro Estudos Estratégicos e Internacionais ouviu cerca de 600 executivos voltados a áreas de tecnologia da informação e segurança dos setores de energia, transporte, saneamento, governo, telecomunicações e financeiro em 14 países.

“Nos países mais desenvolvidos, a infraestrutura crítica está conectada à Internet e pode não ter os recursos devidos de segurança, o que deixa essas instalações vulneráveis”, afirma a McAfee no relatório.

Cerca de 37%das empresas acreditam que a ameaça à infraestrutura crítica esteja crescendo e 40% esperam um importante incidente de cibersegurança para o próximo ano, afirma a pesquisa. O levantamento também sustenta que uma em cada cinco empresas foi vítima de extorsão financeira.

Greg Day, analista de segurança da McAfee, disse que a maior surpresa na pesquisa foi a escala e a amplitude dos ataques.

“Está acontecendo em uma escala tão grande e nós certamente veremos ataques cada vez mais sofisticados”, disse Day.

Fonte: Reuters

Criminosos passaram a utilizar técnicas avançadas para tirar proveito das falhas no Adobe Reder antes do dia 12, quando a empresa fará uma atualização de segurança.

O procedimento consiste na criação de um PDF com malware e reduzir o tamanho do arquivo para 38 bytes ou menos, o que torna difícil a detecção da ameaça.

Segundo a Total Virus informou que apenas quatro dos 41 principais antivírus conseguiram identificar o código malicioso. O processo de reconhecimento demorou seis dias para ser realizado, mesmo com os sistemas que avaliam a reputação de arquivos e sites.
Segundo a empresa, entre as empresas que conseguiram detectar o malware estão a Sophos, TrendMicro, F-Secure e BitDefender.

A Adobe planejou uma atualização geral em sua linha de produtos que deve corrigir diversas falhas de segurança em seus produtos. A companhia recomenda que os usuários evitem abrir documentos de procedência duvidosa em suas máquinas.

Fonte: INFO

Hackers criaram um vírus que ataca o iPhone secretamente, controlando o smartphone por meio de conexões à internet, alertaram analistas.

O vírus foi detectado na Holanda e só ataca iPhones cujos usuários desabilitaram algumas funções de segurança pré-instaladas, de acordo com analistas que monitoram o vírus, conhecido como Duh Worm.

Os hackers estão tentando usar o vírus para obter senhas de banco na Holanda, segundo Graham Cluley, pesquisador da Sophos. Quando um usuário do iPhone tenta acessar um site de banco, o Duh Worm direciona o navegador para uma página falsa controlada pelos hackers.

Os aparelhos vulneráis a ataque são aqueles “abertos”, nos quais os usuários desabilitam ferramentas de segurança fundamentais da Apple que impedem algumas atividades.

Por exemplo, a Apple impede que usuários mudem de provedor de serviço para operadoras não autorizadas e que eles instalem qualquer um dos cerca de 100 mil programas vetados pela fabricante.

Três analistas de segurança independentes disseram que é melhor que os usuários não desabilitem essas funções porque os riscos de segurança são muito maiores do que os possíveis benefícios.

Esta é a primeira vez que iPhones são usados para criar uma “botnet”, ou rede de dispositivos infectados controlados por hackers.

Fonte: Info

Esperei exatamente o término dos testes de tentativas de quebra da segurança do sistema de votação eletrônica brasileiro referente às urnas informatizadas para escrever este artigo.

Apesar de inscrever-me no processo não fui à Brasília por motivos óbvios atrelados à crise financeira que ainda flutua em algumas regiões. E também por saber que luminares da segurança estariam por lá; inclusive o pessoal das Forças Armadas onde a equipe da Marinha do Brasil muito dignamente formalizou pedido de não constar entre os eventuais agraciados com as premiações.

Tentou-se de tudo nesta primeira vez que a Justiça Eleitoral possibilitou que o público em geral verificasse a confiabilidade do sistema, ou seja, se ele estaria sujeito a eventuais violações ou fraudes. Apesar de nenhum teste ter conseguido violar a urna e os programas, as idéias apresentadas pelos especialistas podem contribuir para o aperfeiçoamento tecnológico da votação.

As três idéias consideradas mais relevantes para o aprimoramento do sistema eletrônico de votação serão premiadas hoje, sexta-feira (20), em cerimônia no Hotel San Marco, em Brasília (DF), a partir das 10h. Antes disso, às 9h30, o ministro Ricardo Lewandowski fará apresentação dos testes de segurança na urna eletrônica e nos componentes do sistema de votação que serão utilizados nas eleições de 2010.

A ISSA Brasil (Information System Security Association) participou dos testes tentando provar que seria possível um eleitor votar mais de uma vez por eleição. Além de não ter conseguido seu intuito declarou ser o sistema “bastante robusto”.

Bastantes robustos também são considerados os carros blindados da Polícia Militar do Rio de Janeiro, mais conhecidos por nós como “caveirões” do BOPE. Também eram resistentes a tiros de fuzis calibre 5,56 mm (AR15) e 7,62 mm (FAL). Até que os traficantes descobriram que ele é vulnerável a tiros de calibre .50 ou algo semelhante.

Acho que o problema dos testes com as urnas eletrônicas é que na sua grande maioria foram focados no software. Não vi nenhuma referência ao hardware.

Quando o TSE – Tribunal Superior Eleitoral – começou a divulgar este concurso lembrei-me de uma das minhas primeiras aulas na faculdade de informática lá nos anos 90. Um professor visionário fez a seguinte pergunta para a turma:

- Vocês imaginam o que poderia acontecer se um hacker ou pessoa mal intencionada adentrasse um CPD com um dispositivo de pulso magnético ou até mesmo um imã? E plantasse este imã perto de algum ativo de rede ou até mesmo sob um servidor de missão crítica?

Vamos adaptar esta pergunta para a realidade das urnas:

- O que aconteceria a uma urna eletrônica se uma pessoa durante o seu momento reservado e único de votação plantasse sob a urna tal dispositivo?

Participei de todas as votações eletrônicas realizadas no Brasil como simples eleitor e jamais vi qualquer tipo de verificação por parte da equipe compulsoriamente convocada ao trabalho de secretário, mesário e presidente de zona eleitoral. Querem mais é que o dia passe rápido para poder curtir o que ainda resta dele após ter trabalhado de graça para o governo. Já fui mesário na época das eleições em papel e tiro e falo por mim somente. Também nunca vi nenhum equipamento detector de metais.

Se em um país como os EUA foi possível derrubar as torres gêmeas o que poderia ocorrer por aqui?

- O que aconteceria a uma urna eletrônica se logo abaixo de seu chassi fosse grudado um dispositivo de pulso magnético programado para entrar em funcionamento logo após o fim do pleito? Qual seria o plano de contingência? Tem plano B? Ou o povo teria que ser convocado novamente para uma nova eleição?

Esta viagem na maionese serve apenas para exemplificar que segurança da tecnologia da informação e comunicação não versa apenas sobre software. É um conjunto de fatores físicos e lógicos que devem ser levados em consideração. Pois; será que as urnas são suficientemente blindadas? O caveirão também era até que,…, coitados dos mesários e secretários.

O especialista no sistema de blogs Wordpress Guilherme Aguiar afirmou que foi fácil invadir sem uma senha o sistema de blogs do portal R7, que foi ao ar no último domingo.

O coordenador de interface e integração de serviços da equipe Xemelê, do Ministério da Cultura, ganhou acesso ao sistema apenas entrando na página de administração do serviço. Se a Record não tivesse bloqueado os endereços, posts e informações dos usuários poderiam ser danificados.

INFO Online - Como você teve a idéia de acessar as páginas de login do sistema de blogs? Já sabia que era Wordpress?

Aguiar - Eu já sabia que o R7 iria utilizar o WordPressMU em seus blogs e, por curiosidade, resolvi fazer alguns testes básicos de segurança. Começo digitando “/wp-admin” logo após a terminação do endereço do site. Já na primeira tentativa, conseguimos logar.

INFO Online - A administração era geral ou só de um blog específico? Que estrago poderia fazer por lá?

Aguiar - Quando loguei pela primeira vez, a administração era somente para um blog, o Blog do Rubens Ewald Filho. Neste caso, eu estava com nível de administrador somente para este blog e tinha permissão de administrador para apagar o conteúdo, comentários, alterar o tema, editar plugins, enfim, fazer o que quisesse. Fiz outras tentativas para ver se era um problema somente nesse blog, mas também consegui acessar os blogs da Fabiola Reipert e do Edu Guedes.

Para minha surpresa, no Blog do Edu Guedes o usuário apareceu como administrador geral, com permissão para inclusive excluir e criar novos blogs.

INFO Online - Como conseguiu entrar sem a senha?

Aguiar - Suponho que o problema ocorreu por eu estar logado em um site em WordPress no meu computador. Ao fazer o teste no site do R7, ele logou acidentalmente por estar compartilhando a mesma chave de autenticação, provavelmente a padrão, assim como ocorre na integração do bbPress com o WordPress.

Vale a pena ressaltar que seria importante o R7, antes do lançamento, ter seguido algumas dicas importantes de segurança. Ou mesmo ter consultado os membros da comunidade oficial do WordPress no Brasil.

Fonte: Info

Teste de segurança do sistema eletrônico de votação

O Tribunal Superior Eleitoral (TSE) aprovou por unanimidade, na sessão administrativa do dia 30 de junho de 2009, a realização de teste público de segurança no sistema eletrônico de votação para verificar possíveis vulnerabilidades no sistema, ou seja, se ele está sujeito a eventuais violações ou fraudes.

O teste para as eleições de 2010 deverá ocorrer no período entre 10 e 13 de novembro deste ano, nas dependências do TSE, e vai colocar à prova o sistema eletrônico, por meio de tentativas a serem feitas para burlar seus programas.

A participação nos testes está aberta a toda a sociedade brasileira. Informações adicionais estão disponíveis no Edital dos testes. O TSE convida a participarem, em especial, profissionais das áreas de tecnologia da informação e engenharia.

Os resultados dos testes serão analisados e divulgados por uma comissão formada por membros externos à Justiça Eleitoral, denominada Comissão Avaliadora.

A Corte designou o ministro Ricardo Lewandowski para coordenar a realização do teste público de segurança.

http://www.tse.gov.br/internet/eleicoes/teste_seguranca.htm

Fonte: TSE

Ameaças de phishing, utilizadas para roubar dados dos usuários, continuam a aparecer na lista de problemas da rede social Facebook.

Rik Ferguson, pesquisador da Trend Micro, avisa que novas tentativas de enganar os cadastrados no sistema parecem todos os dias. Só na última semana, o site neutralizou seis aplicativos falsos que ofereciam riscos aos visitantes.

A estratégia dessas farsas é fazer com que o usuário pense que está acessando conteúdo legítimo do sistema. Em alguns casos, o aplicativo pode levá-lo a uma página falsa de login do próprio Faceebook, onde acontece o roubo dos dados de cadastro.

A notificação “sex sex sex and more sex” traz aplicativos que prometem transmissões de vídeo e material adulto. Ao ativá-las, o navegador redireciona a página para um domínio chamado “fucabook.com”. Lá, um JavaScript garante que seus dados serão gravados no servidor da página maliciosa. Sem que o visitante perceba, sofre uma atualização automática mostrando o endereço oficial da rede social.

Em seu blog, Ferguson afirma que está em contato direto com o Facebook, mas a cada ameaça desabilitada, novas surgem para tomar o seu lugar. O problema pode estar relacionado ao pacote de alterações criado para facilitar a entrada de desenvolvedores na rede, como o Open Stream API.

Fonte: INFO

A Microsoft entrou com um pedido formal na terça-feira, 18, para tentar suspender a proibição de venda do Word nos Estados Unidos, decretada pela Corte Distrital de Justiça do Texas (EUA), embora a empresa ainda tenha 60 dias para cumprir a determinação.

De acordo com o The Wall Street Journal, o pedido, registrado na Corte Federal de Apelação, sustenta que a medida pode causar “danos irreparáveis” aos negócios da companhia.

A sanção, proferida na semana passada, foi resultado da derrota em uma ação movida em 2007 pela i4i, desenvolvedora canadense de software para manipulação de documentos. A decisão inicial havia sido tomada no dia 20 de maio passado, e sustentava que a empresa de Bill Gates estava deliberadamente usando tecnologia patenteada pela i4i, a qual alegou que a Microsoft infringiu intencionalmente uma de suas patentes no Word e no sistema operacional Windows Vista.

A decisão não proíbe, contudo, que os usuários que já tinham o Word o usem, mas impede que a Microsoft venda as versões 2003 e 2007 do software, até que ele seja reestruturado.

O documento do pedido afirma que o Word é peça central na linha de produtos da Microsoft e, portanto, interromper sua venda durante meses causará danos nos quais a empresa pode não conseguir se recuperar. Também é salientado que a decisão pode prejudicar uma série de fabricantes de PCs que revendem o processador de textos, como a Dell e a HP.

Loudon Owen, CEO da i4i, declarou que o apelo da Microsoft já era esperado, mas acha que a decisão do júri foi correta e justa.

Fonte: TI Inside

O que aconteceria se você perdesse seu notebook no aeroporto? Ou ao fazer o checkout no hotel e perceber que seu laptop já não está mais ao seu lado? Além do valor material da máquina, quanto valem as informações do seu HD?

Uma ferramenta GRATUITA poderá lhe ajudar na árdua tarefa de preservar o seu ativo mais caro. A informação.

O FILELOCKER é mais uma ótima opção para proteger seus arquivos. Muito útil para quem tem notebook ou compartilha o computador com outras pessoas.

1. Após instalar o utilitário você deverá definir uma senha forte para o software.

2. Através do próprio recurso de browser do software escolha pastas e arquivos a serem protegidos.

3. A proteção poderá definida em diversos níveis como: Proteção de Acesso, Escrita, Exclusão e Visibilidade

Outras opções existem, mas o File Locker é uma das mais amigáveis, fáceis e intuitivas. E é grátis.

Caro leitor, não se deixe enganar pela simplicidade do título deste artigo. O mais difícil é enxergar as coisas mais simples que estão a nossa volta. E nem sempre conseguimos realizar esta pequena grande tarefa.

foto: maniacworld.com

Uma das maiores facilidades promovidas pelo Windows desde sempre é o famoso copiar e colar que integra o sistema operacional a toda a gama da camada de aplicativos que o permeia. Aliás, esta sempre foi uma das estratégias características do sistema operacional mais utilizado no mundo. Oferece o básico e outras companhias desenvolvem o avançado. Um exemplo disso pode ser o MS Paint. A seu reboque lá no início da década de ‘90 vieram Corel Draw, Ventura e Pagemaker dentre outros. É o milagre da multiplicação das APIs. Olha aí o Twitter que não me deixa mentir.

Certo. Mas o que isto pode ter a ver com segurança da informação?

Tem a ver com prejuízo financeiro que a evasão de informações e roubo de conteúdo acarreta. Cita-se também o crime de violação do direito autoral. Pois qual é o produto principal dos veículos de informação? Claro que a própria informação em formato de notícias, artigos, imagens, vídeos, podcasts, etc. e tal. Então como controlar esse drag and drop desenfreado pelas nuvens virtuais da vida?

Já está mais do que provado que de nada adianta bloquear o recurso de cópia online. Em questão de poucos minutos transforma-se a página em imagem e através de uma antiga tecnologia, OCR, se obtém o texto. Sons, vídeos e imagens são ‘ripados’ ao toque do mouse.

Foi pensando nisso que um ex-executivo do Yahoo ajudou a fundar na Califórnia a empresa Attributor. Hoje Rich Pearson é VP de marketing desta empresa. E conversando com ele tive o prazer de ver os produtos da Attributor em pleno funcionamento. Através da identificação do conteúdo original do autor é que começa a busca por toda a internet que está praticamente toda indexada no datacenter deles na Califórnia mesmo. A base de dados do Attributor possui mais de 30 bilhões de páginas listadas. E por dia são acrescentadas aproximadamente mais 50 milhões. Meta buscadores de algoritmos e tecnologias próprias varrem websites, redes sociais, blogs e tudo o mais que está público na rede mundial a procura de cópias indevidas de conteúdo que não foi disponibilizado via agências.

O resultado é impressionante ao se perceber o quanto um conteúdo é copiado sem ao menos ter a sua fonte de origem citada. A audiência de determinados veículos é muito maior do que a oficialmente por eles e experts em rating. Aí é que pode estar o ralo financeiro. Exemplo:

A partir de um único texto foram encontradas mais de 3.000 cópias em diversas instâncias de um pouco mais de 600 localidades. Poucas foram as que, no mínimo, citaram a fonte das matérias.

A empresa autora foi lesada e nem sabe. Talvez desconfie mas não sabe como localizar a tungada. Poderia estar alavancando a sua receita seja pela venda do conteúdo ou pelo menos aumentando a sua visibilidade ao requisitar a sua citação. O relatório mostra também que atrelado ao conteúdo roubado estão anexos anúncios e banners que também não deixam de representar uma perda indireta para o autor. Pois quem está percebendo lucro com o conteúdo alheio através de propagandas online é o gatuno oportuno.

Este é então um recurso e um investimento que se paga rapidamente na medida em que identifica por onde anda o trabalho e o suor dos produtores, editores, redatores, jornalistas e repórteres. Ao mesmo tempo em que ajuda a enfrentar os novos desafios propostos pelas tecnologias emergentes, determina uma tendência a virar regra, ferramenta usual e estratégica nas empresas de mídia e grandes veículos.

Artigo exclusivo