Segurança da (sua) Tecnologia da Informação e Comunicação

As pessoas que deram ao mundo softwares para roubo de números de cartão de crédito estão usando classificados online para fazer contratações. São duas empresas que estão contratando anunciaram vagas online, disse Kevin Stevens, analista de informações sobre ameaças na SecureWorks, uma companhia de segurança que apresentou pesquisa sobre essas organizações na conferência de segurança na computação Black Hat, realizada perto de Washington.

O que elas procuram são pessoas dispostas a usar os códigos invasivos que elas oferecem para enviá-los como link a pessoas que podem se sentir inclinadas a clicarem neles. Os “empregados” contratados recebem pagamento a cada mil downloads do software maligno.

Um site, por exemplo, paga 180 dólares a cada mil downloads de malware a usuários de computadores nos Estados Unidos. O valor cai quando o download for feito por computador instalado em outros países. A empresa não paga por downloads em computadores russos, o que leva Stevens e outros a suspeitar fortemente de que, como outros sites semelhantes, ela esteja localizada na Rússia.

“Pagamos seus honorários por meio dos seguintes sistemas: Fethard, WebMoney, Wire, e-gold, Western Union (WU), MoneyGram, Anelik e ePassporte, e PayPal”, anuncia o site.

Stevens afirma que é impossível dizer quantos computadores foram infectados por essas empresas, mas calcula o número em milhões. Os profissionais de segurança da computação que formavam a audiência na palestra de Stevens chegaram a rir algumas vezes, diante do descaramento desses sites.

É difícil separar roubos que derivam desses sites de outras formas de crime na Internet, mas o FBI estima que os prejuízos causados por crimes de Internet reportados por indivíduos tenham atingido os 264 milhões de dólares em 2008. O relatório sobre 2009 ainda não foi divulgado.

O problema do cibercrime se agravou nos últimos três anos à medida que consumidores e empresas passaram a ter expostos na Internet dados valiosos tais como planos de negócios, números de cartão de crédito, informações bancárias e números de seguro social.

Fonte: Reuters

Organizações criminosas brasileiras, como o Primeiro Comando da Capital (PCC), de São Paulo, e o Comando Vermelho (CV), do Rio de Janeiro, estão fazendo uso das mesmas gangues de crimes informáticos dos Estados Unidos que prestam serviços à Al Qaeda, de Osama Bin Laden. Parece filme de ficção, mas não é. A informação consta de relatório assinado pelo norte-americano Anthony Reyes, consultor de combate a crimes informáticos e que presta serviços ao FBI, a polícia federal dos EUA, e à CIA, a central de inteligência norte-americana. Tais informações foram repassadas ao Comitê Sobre Crimes Eletrônicos da OAB-São Paulo e são confirmadas pelos seus representantes, Coriolano Camargo, 41 anos de idade, e Antônio Otero, 44.

Os dois advogados não promovem investigações mas montaram, em 2009, um centro de referência, na OAB-SP, que tem recebido resultados de investigações de todo o mundo sobre as movimentações do crime virtual no planeta. Isso envolve desde informes dos maiores consultores do governo dos EUA até policiais federais, promotores, procuradores, advogados e juízes.

Dados levantados sobre esse centro internacional de referência, comandado por Coriolano Camargo e Antônio Otero, revelam que os 20 maiores escritórios de advocacia de São Paulo já tiveram os seus computadores invadidos por piratas virtuais.“Um dos golpes que tem ocorrido é o envio de um e-mail falso, em nome da Associação dos Advogados de São Paulo, alertando falsamente que o prazo para que, digamos, o recurso de um determinado processo vai expirar.

Os advogados acabam ajuizando recursos sem ter de fazê-lo, o que antecipa decisões estratégicas. Já imaginou o que isso representa numa ação de R$ 5 milhões?.

E o que o PCC, o CV e Al Qaeda têm a ver com essa trama de cinema? Os advogados explicam que, segundo o relato de Anthony Reyes, que trabalha para a entidade International High Technology Crime Investigation Association http://www.htcia.org, hoje 50% do modelo de arrecadação monetária da Al Qaeda vem de crimes e extorsões praticadas no mundo virtual. Anthony Reyes achou conexões do PCC e do CV com os mesmos fornecedores de tecnologia de golpes da AlQaeda.

As atividades de Reyes no mundo são tão valorizadas que este ano ele foi contratado pelo governo da República Popular da China para montar um esquema anti-fraudes no portal do todo-poderoso Partido Comunista Chinês.

Um dos golpes que vem sendo tentado em todo o mundo, e no Brasil em particular, informou Anthony Reyes à OAB, é tentar roubar senhas de advogados e juízes. É aqui que o PCC estaria tentando operar. Como, por exemplo, ofertando bolsas de estudos para advogados brasileiros, nos EUA, em falsos portais em que a vítima importa um falso arquivo e ali bota os seus dados. São arquivos em programas JPG e PDF, que uma vez instalados roubam todas as senhas da vítima, ela terá todos os seus passos na navegação seguidos e copiados.

O advogado Coriolano Camargo diz que o esquema já é copiado por vários subgrupos criminosos. Ele revela que numa operação da Polícia Federal batizada de Pégasus, por exemplo, tanto PF quanto STF prolataram que os grupos de crimes informáticos que perecem face à lei rapidamente têm o seu espaço virtual ocupado por novos grupos. É uma vigilância constante, dos criminosos, sobre as potencialidades representadas por ocupar esses espaços. Mas o que mais nos preocupa é que esse número aumenta cada vez mais. Já temos 17 mil casos de crimes digitais julgados e condenados no Brasil.

Esse tipo de crime aumentou em São Paulo cerca de 200% entre 2007 e 2009. O que mais preocupa a OAB, no entanto, é o aumento da terceirização desse tipo de trabalho. No levantamento da OAB, o crime organizado tem pago um salário de R$ 2 mil mensais para quem empresta o IP do seu computador para um terceiro cometer crimes a partir dele.

Perguntados sobre alguns casos que envolvem tais grupos organizados, eles citam dois, sem obviamente revelar nomes: o de um criminoso que falsificou o e-mail de um ministro do governo Lula e usou esse e-mail para caluniar empresas e pessoas, anexando documentos lícitos com informações falsas; e um caso que chegou à OAB por meio do delegado federal Paulo Quintanilha da Silva, que chefia a seção de crimes informativos da PF, em Brasília. Trata-se de uma companhia aérea inglesa que foi ameaçada de ter todo o seu sistema de compras on-line barrado, caso não desembolsasse, para os criminosos, a soma de US$ 5 milhões. A empresa não pagou e seu sistema de compras foi barrado. O esquema envolvia criminosos com base no Brasil e na Ásia.

* Coriolano Aurélio de Almeida Camargo Santos.
Presidente do Comitê sobre Crimes Eletrônicos da OAB SP
Almeida Camargo Advogados Associados

Fonte: Risk Report

Bing! Information Design (BID), uma pequena empresa de Saint Louis, nos Estados Unidos, está processando a Microsoft por ter copiado seu nome ao batizar o buscador Bing.

Dedicada à criação de animações e gráficos digitais há mais de dez anos, a BID alega que, desde o lançamento do Bing, em junho, tem obtido dificuldades para se relacionar com outras companhias. Segundo seus advogados, a confusão de nome atrapalha a política de comunicação da empresa de menor expressão.

A Microsoft, por sua vez, afirma que não pode haver esta confusão, dado que os meios de atuação das duas empresas são bem diferentes.

Por meio de seu porta-voz, Kevin Kutz, a corporação comunicou: “Temos respeito a marcas de propriedade intelectual de outras pessoas e esperamos as próximas etapas no processo judicial”.

O rival no quesito buscas, Google, também passa por situação parecida devido à nomeação de seu sistema operacional móvel Android, ocorrida em 2008.

Logo que os primeiros aparelhos com o SO surgiram, uma pequena empresa americana chamada Android Data Corporation entrou com um processo requerendo uma multa de 94 milhões de dólares por uma suposta “cópia”. O caso ainda não foi encerrado.

Até o momento, não se sabe o que a BID pede à Microsoft no processo.

Fonte: Info

A Seal Tecnologia está pronta para atender ao mercado na adequação à Lei 11903/09, conhecida como lei da rastreabilidade de medicamentos e que cria o Sistema Nacional de Controle de Medicamentos, uma nova determinação da Anvisa (Agência Nacional de Vigilância Sanitária).

A nova lei vai impactar fabricantes, fornecedores e comerciantes de medicamentos em todo o Brasil. A lei de rastreabilidade determina que seja possível recuperar informações históricas e geográficas sobre o caminho percorrido pelos medicamentos, desde sua produção até a entrega ao consumidor. O objetivo é ter uma gestão eficiente dos riscos na cadeia de produtos farmacêuticos, dando mais segurança ao consumidor e permitindo identificar fontes de desvio de qualidade.

Tecnologia
Pela lei, cada unidade de medicamento comercializada no País deverá ter o Identificador Único de Medicamentos (IUM), que será impresso em etiquetas de segurança produzidas especificamente para esse fim. O IUM deverá conter todas as informações sobre o caminho percorrido por aquela unidade do medicamento.

O código de barras bidimensional (2D), também chamado de Datamatrix, é a tecnologia indicada para garantir a rastreabilidade de cada unidade de produtos farmacêuticos. Ao contrário do código de barras comum, que é visível e contém apenas um número, o 2D pode armazenar milhares de informações ao mesmo tempo, como números, letras e outros dados.

A lei de rastreabilidade prevê que o Sistema Nacional de Controle de Medicamentos seja implantado gradualmente em até três anos, período de adequação das empresas à lei. “No entanto, como a lei envolve toda a cadeia de fabricação, distribuição e comercialização de medicamentos, é prudente que as empresas já comecem a se preparar em 2010”, alerta Bernardes.

Fonte: Decision Report

Um acordo entre o Ministério da Justiça, a Anatel (Agência Nacional de Telecomunicações) e as operadoras móveis prevê o bloqueio de celulares roubados por meio de seu número Imei, uma espécie de “número de série” de cada aparelho vendido legalmente no país.

A iniciativa é da Secretaria de Direito Econômico, órgão do Ministério da Justiça. Segundo a Secretaria, o bloqueio por meio de número Imei impede que celulares roubados continuem a funcionar, mesmo que desbloqueados. Na prática, isto seria um duro golpe no comércio de telefones roubados.

O número Imei seria o equivalente ao chassi de um celular. Uma vez que as operadoras bloqueiem determinado Imei, ele não consegue funcionar em nenhuma rede e perde seu valor como telefone. Assim, quem furtar um celular só pode usá-lo como despertador ou agenda, por exemplo. Qualquer função que dependa de conexão com as operadoras fica inutilizada, argumenta a Secretaria.

Se a medida funcionar de forma adequada, será um duro golpe no mercado de revenda de celulares sem origem. Também haverá forte desestímulo ao roubo ou furto. Afinal, um aparelho que não funciona em nenhuma operadora não tem grande valor de revenda para o criminoso.

Com base nos registros das polícias nos 27 Estados brasileiros, o Ministério estima que, por ano, sejam registrados 1 milhão de roubos ou furtos de celulares no Brasil. O número verdadeiro de roubos, no entanto, deve ser bem maior, pois apenas um pequeno percentual das pessoas vai a uma delegacia registrar a ocorrência.

Para o acordo entrar em vigor, ainda é necessário o aval da Anatel e a unificação dos cadastros Imei de todas as operadoras móveis. Não há prazo definido para isto acontecer.

A Secretaria prevê, ainda, uma campanha publicitária para explicar aos consumidores a importância de registrar o B.O quando tiverem seus celulares roubados. O documento será obrigatório para pedir o bloqueio de um aparelho.

Se eventualmente o celular for recuperado, será possível pedir às operadoras a exclusão do número Imei do cadastro de telefones “proibidos” de conectar-se nas redes móveis brasileiras.

O principal risco da medida falhar no combate aos roubos será se os criminosos encontrarem alguma forma de driblar a checagem de número Imei ou fornecer um número Imei falso à operadora quando o aparelho se logar na rede móvel.

Fonte: Info

A Kaspersky Lab publicou um artigo retratando o ataque de cybercriminosos durante o período de festas de 2009. A popularização do e-commerce, incluindo compras por cartões de créditos ou sistemas de pagamento eletrônico, como PayPal e Webmoney nos Estados Unidos e União Européia foram alvos de ataque com programas maliciosos “universais” que interceptam diversos dados financeiros.

Dmitry Bestuzhev, Analista de Vírus Sênior da Kaspersky Lab para a América Latina demonstra o ataque em milhares de PCs infectados com o cavalo de tróia Trojan.Win32.Vilsel.qhw. Bestuzhev destaca ainda que até o último dia do ano, apenas seis das 40 empresas de segurança (15%) tinham detectado a ameaça, de acordo com o VirusTotal.

Fonte: Risk Report

O acesso remoto cresce cada vez mais nas organizações por meio de equipamentos como iPhone, celulares, black berry, notebook, netbook. Ao mesmo tempo, com o aumento desses dispositivos, o desafio das empresas é controlar as informações recebidas e enviadas por seus colaboradores, bem como a segurança física dos aparelhos. Falta política de uso.

Os funcionários usam as máquinas tanto para fins corporativos quanto pessoal. Isso implica na ausência de segurança e controle daquilo que é utilizado.

Quem garante que apenas o seu funcionário esteja usando o equipamento da empresa e, ainda, o que ele acessa é realmente dados da companhia ou faz uso pessoal do patrimônio corporativo? Esse é o principal drama das companhias que, cada vez mais, se munem de dispositivos móveis.

A solução para isso é o uso de certificação digital. Essa é a opinião de Victor Murad, vice-presidente de Serviços Públicos da Câmara e-Net. “O certificado digital poderia contribuir muito no relacionamento entre o usuário do internet banking e o banco. Uma das questões hoje que aflora nesse relacionamento é o ônus da prova sem recair sobre o banco porque o binômio usuário e senha não são respaldados juridicamente. Uma vez que o correntista é certificado, passa a se responsabilizar sobre o uso do serviço e certamente a auto-fraude vai cair drasticamente, maximizando a segurança e o acesso”.

Da mesma forma que o setor financeiro é crítico, a saúde também. Imagine uma prescrição médica na internet ser adulterada? Essa foi a indagação de Marcelo Noronha, superintendente de TI, Relações Institucionais, Telecomunicações e Segurança da Informação da Home Doctor. “Por isso, mesmo que tenhamos um programa de treinamento e conscientização de nossos colaboradores, ainda não colocamos a prescrição médica na web pelo temor de uma invasão”, diz o executivo.

Se uma empresa teve problema de segurança é porque não houve a obsessão necessária do CSO. “A tarefa de todos que trabalha com segurança em TI é saber qual o novo ataque, se a empresa está preparada”.

Por outro lado, há também os que desenvolvem os códigos, os aplicativos e não devemos esquecer que são pessoas. “Às vezes cometemos o erro de atribuir a segurança só para o pessoal da tecnologia. Quem desenvolve a tecnologia são pessoas e elas também escrevem os processos”, aponta Marcelo Ribeiro, gerente de Redes de TI, responsável por segurança e infraestrutura da Catho Online. Marlon Borba, CSO do Tribunal Regional Federal da 3ª Região concorda: “é preciso educar os desenvolvedores para que saibam criar códigos seguros. Esse é um aspecto fundamental e tem sido muito desdenhado, uma vez que temos concentrado demais na questão de infraestrutura”, conclui Borba.

Portanto, na opinião de Cláudio Martins, CIO da GM do Brasil, o desafio é acessar a informação de qualquer lugar com o máximo de segurança. “Também é necessário testar a segurança dos aplicativos, mas isso é parte da metodologia de desenvolvimento de software.Quanto ao Cloud Computing, a GM já utiliza há quatro anos para a distribuição de vídeos. Você pode fazer o cloud dentro de sua empresa primeiro sem correr o risco da segurança. A evolução dessa tecnologia criará os meios de proteção usando para o benefício do negócio. Qual o balanço entre o risco que você corre e o benefício que tem? Em minha opinião, se hoje o CSO é obcecado, o CIO está doente”.

Fonte: Risk Report

Ferramentas interativas como redes sociais, blogs ou sites de confiança dos usuários são os principais alvos dos hackers, explica Cristine Hoepers, gerente do Cert.br (Certified Computer Security). “Os ataques mudaram de cara a partir do segundo semestre de 2009. Agora, ele explora o usuário pelas redes sociais e sites de grande volume. Por isso, torna-se muito importante a educação dos desenvolvedores e programadores para a questão da Segurança da Informação”, conta.

Cristine cita que o grande sonho dos criminosos é conseguir atacar o Google para atingir milhões de usuários de uma só vez. “O usuário nem percebe esse tipo de ataque porque basta um clique no site de confiança para ele ser explorado por um criminoso”, explica. Ela acrescenta que um dos impactos deste tipo de ataque pode ser a lentidão do tráfego da banda larga da vítima.

Mecanismos de proteção vão desde o cuidado com a programação e desenvolvimento dos códigos até ás políticas de Segurança da informação. “Cerca de 90% das empresas têm firewall, UPS ou antivírus, mas não tem uma política de segurança e não sabe o que fazer diante de algumas situações. É importante ressaltar que a maioria sabe muito bem cuidar da entrada da rede, mas não tem idéia do que fazer em relação ao que sai da rede. É por isso que o país torna-se infraestrutura para os criminosos do mundo”, observa.

Guilhermino Domiciano, gerente da área de Segurança da Informação do Banco do Brasil, confirma a tendência do Cert.br e informa que houve queda no volume de scans desde segundo semestre de 2009 e pela primeira vez foi registrado no Brasil ataques em escala. “Os ataques em sites de confiança do usuário já começaram no Brasil, mas basta montar uma cesta de defesa para se proteger”, conclui.

Fonte: Decision

Criminosos passaram a utilizar técnicas avançadas para tirar proveito das falhas no Adobe Reder antes do dia 12, quando a empresa fará uma atualização de segurança.

O procedimento consiste na criação de um PDF com malware e reduzir o tamanho do arquivo para 38 bytes ou menos, o que torna difícil a detecção da ameaça.

Segundo a Total Virus informou que apenas quatro dos 41 principais antivírus conseguiram identificar o código malicioso. O processo de reconhecimento demorou seis dias para ser realizado, mesmo com os sistemas que avaliam a reputação de arquivos e sites.
Segundo a empresa, entre as empresas que conseguiram detectar o malware estão a Sophos, TrendMicro, F-Secure e BitDefender.

A Adobe planejou uma atualização geral em sua linha de produtos que deve corrigir diversas falhas de segurança em seus produtos. A companhia recomenda que os usuários evitem abrir documentos de procedência duvidosa em suas máquinas.

Fonte: INFO

Pacotes para disseminação de golpes online, como o Turkojan, vendido entre US$ 99 e US$ 700 popularizam crimes digitais e elevam risco de ataque.

Talvez o leitor não conheça o pacote de softwares Turkojan, mas a semelhança com a palavra ‘trojan’ não é acidental. Este é um dos diversos kits geradores de pragas virtuais disponíveis na internet, que tornam o cibercrime cada vez mais organizado e aumentam o rico de ataques virtuais, alerta o gerente de produtos da equipe X-Force da IBM, Dan Holden.

Para começar, a página do suposto fornecedor de software já procura instalar cavalo-de-tróia na máquina de quem acessa seu site, portanto, refreie sua curiosidade e garanta que seu antivírus estejam em dia.

Disponível em três pacotes de serviços diferentes, com preços que variam de 99 dólares a 249 dólares, o Turkojan oferece aos criminosos “monitoramento remoto” e uma cláusula especial: “um mês de garantia de substituição (do produto) se ele for detectado por qualquer antivírus”.

O Turkojan é apenas um exemplo da profissionalização dos crimes digitais, afirma Holden. “Hoje não é necessário ser um especialista em tecnologia para disseminar um malware na rede em poucos segundos”, disse o executivo em uma recente apresentação sobre o trabalho do X-Force - uma espécie de ‘Swat’ da segurança de dados - na sede da IBM Internet Security Systems (IBM ISS), em Atlanta (EUA).

Outro pacote de invasão profissional um pouco mais caro (700 dólares) foi o responsável pela disseminação do Zeus, um dos mais efetivos cavalos-de-tróia de 2009.

Segundo um relatório sobre ameaças à segurança divulgado esta semana pela Cisco Systems, até outubro deste ano, o Zeus se infiltrou em mais de 3,6 milhões de PCs no mundo todo usando e-mails falsos (phishings) e downloads induzidos.

Com a ajuda dos ‘kits de ferramentas’, criminosos conseguiram criar inúmeras variantes da praga que é capaz de ‘ouvir’ a atividade da máquina para roubar nomes de login e senhas bancárias, descreve o relatório. “Ele pode driblar até dispositivos de senhas randômicas como tokens - que as pessoas consideram seguros contra este tipo de ataques”, afirma empresa.

Negócio sigiloso
Cada vez mais profissionais, as armas do cibercrime se multiplicam em sigilo na rede. “Existem métodos que os invasores empregam para apagar qualquer tipo de rastro que leve uma investigação forense a um determinado endereço IP”, afirma Bruno Rossini, gerente de relações públicas da Symantec no Brasil. “Além disso, os ataques são realizados por redes de bots (máquinas infectadas usadas para promover ataques sem o conhecimento do usuário)”. E nesta área, o Brasil é um dos países com o maior volume de computadores ‘zumbis’.

No caso do Turkojan, segundo Dan Holden, a maior dificuldade de combater a ameaça ainda é o uso de outro disfarce. “Ele é posicionado como uma ferramenta de controle de acesso remoto, o que o faz parecer ‘quase-legítimo’”, explica o especialista do X-Force.

Eliminar a estrutura de negócios do mundo do crime online é uma verdadeira cruzada para as empresas de segurança de dados, mas a parceria entre a indústria de software e autoridades tem apresentado resultados. No Brasil, em 2008, a Operação Cardume desarticulou uma quadrilha que atuava em diversos Estados roubando senhas bancárias online por meio de phishings. “Outro caso mais recente, nos Estados Unidos, chegou a reduzir 40% no volume do spam mundial após a descoberta de uma organização que aplicava golpes na web” lembra o gerente de desenvolvimento de negócios da Cisco, Ghassan Dreibi.

Entre outros modelos negócios, listas com dados sigilosos de contas bancárias são vendidas no ‘mercado negro’ de acordo com o saldo da vítima e a dificuldade de invasão, “como se fosse um negócio como outro qualquer no dia-a-dia de uma empresa”, observa Rossini.

Fonte: IDG