sexta-feira, 29 de janeiro de 2010

Autoavaliação

Neste último post do mês resolvi fazer uma autoavaliação a respeito do blog e da minha atuação na blogosfera, pois o retorno que tenho tido de vários leitores é muito grande. Sempre tento simplificar o assunto dos crimes cibernéticos e de situações que envolvam a segurança virtual, porém nem sempre é possível.

O primeiro aspecto a destacar é que apenas alguns dias antes de entrar oficialmente de férias consegui, com a ajuda da Juliana Sardinha do Dicas Blogger, ativar o novo formato do blog, o que foi elogiado por vários leitores. Tal fato já foi aliado à anterior criação de domínio próprio.

Embora o número de postagens era razoável antes da mudança, com o acréscimo de conteúdo específico a partir de dezembro de 2009 foi possível verificar a mudança de comportamento dos leitores, participando mais. Portanto, foi abandonado aquele estilo de citar as notícias mais importantes relacionadas ao assunto do blog e passou-se a criar/editar assuntos específicos.

Com isso, aliado à utilização do Twitter e do Portal do Luis Nassif, foi perceptível o crescimento do número de acessos (mais de 2.000 no úlimo mês) e de page views (quase 4.000 no mesmo período). Então, proporcionalmente houve um upgrade bastante considerável em relação aos períodos anteriores. Pode ser pouco para outros profissionais e blogueiros, mas para quem não tinha isso em vista e o objetivo era apenas informar.

Interessante, neste processo todo, é fazer uma leitura do perfil dos visitantes:

- o português é, logicamente, a linguagem com maior acesso (87,35%), seguindo do inglês (9,09%) e do português de Portugal (1,38%);

- 90,81% dos leitores usam o Windows como sistema operacional, sendo praticamente 60% do XP e mais de 7% com o Windows 7;

- Os outros dois sistemas operacionais com maior acesso são o Linux e Macintosh, respectivamente com 5,19% e 2,42%, surpreendendo-me o acesso através do iPhone (em 5º lugar), com 0,64%;

- Quanto aos navegadores de internet, felizmente o Firefox passou o IE em uso, com percentual de acesso, respectivamente, de 45,36% e 31,57%. Foram seguidos de perto pelo Chrome, com 18,53%. Safari e Ópera ficaram com um pouco mais de 1% cada.

Visitas-Brownsers

Obs.: fiquei contente com esse feedback quanto aos browsers, pois o IE está tão instável que sempre recomendo a utilização de qualquer outro que não ele.

- O percentual de quem usa a combinação Windows/Firefox é de 40%. Poderia ser mais!!!!

Bom, era isso quanto ao blog. Não posso deixar de mencionar que trabalhei na ativação de outros dois blogs:

# um, sobre opiniões diversas e diferentes, que é o Meus Pitacos’s Blog e já conta com seis colaboradores de atividades e funções diferentes, propiciando a diversidade.

# outro, sobre Inteligência Policial, outro viés do meu mister em tentar transmitir algum conhecimento aos alunos policiais e agentes e autoridades já na ativa (principalmente).

 

Não posso deixar de citar a Rede de debates sobre os Crimes Cibernéticos, criada também no ano passado, mas que precisa de um bom upgrade nas discussões no decorrer de 2010.

Acho que era isso! Portanto, na minha avaliação isso tudo é muito bom. Vou procurar, quando voltar a trabalhar, postar um artigo por semana em cada blog, o que vai depender muito das agendas e trabalhos. Aguardo a contribuição de todos em sugestões, comentários e pitacos.

quarta-feira, 27 de janeiro de 2010

Relato da minha participação em Curso de Técnicas de Entrevista para Detecção de Mentiras

No último dia 25/01, segunda-feira, participei como ouvinte/aluno da 23ª edição do Curso de Técnicas de Entrevista para Detecção de Mentiras, realizado no Clube Thompson, em Porto Alegre. Fui convidado por diversas vezes pelo Thompson Cardoso e não tinha agenda. Só agora, em férias, pude participar.

Já tinha realizado, em 2003, um curso pela New Scotland Yard e Senasp (Brasília/DF). Vou destacar alguns aspectos do curso para que os leitores tenham em mente o que é tratado durante as cinco horas do curso (são cinco horas mesmo!).

O conteúdo: além da apresentação dos conceitos, são realizados exercícios práticos, tendo como base as técnicas utilizadas atualmente pelo FBI e New Scotland Yard, tanto para entrevista de suspeitos e testemunhas, visando detecção de mentiras e correta inferição de veracidade.

Pela característica vivencial do curso, as técnicas são assimiláveis e passíveis de se tornarem ferramentas imediatas de aplicação em atividades de Inteligência Policial, quer para coleta de informações, cooptação e/ou recrutamento de informante, avaliação da equipe de inteligência pelo seu coordenador, entrevista de testemunhas, suspeitos e, principalmente, de quem não saiba que está sendo entrevistado ou que deliberadamente tente esconder informações.

O palestrante: Thompson Cardoso, Policial Civil em atividade no DEIC/RS; Engenheiro Civil/UFRGS e Instrutor de Tiro há 32 anos; Oficial R2 do Exército Brasileiro e Membro Honorário da Força Aérea Brasileira; participante de diversos cursos com equipes SWAT americanas e FBI; palestrante em diversos Congressos e Seminários, nacionais e internacionais, empresas, entidades de classe e unidades de ensino (Unificado, Ulbra, dentre outras); Pós-graduando em Gestão Estratégica para Prevenção da Violência na UNISINOS (onde será meu aluno!) e novel integrante do corpo docente da Acadepol na disciplina de Inteligência Policial.

Segundo Thomspon, com esta edição já foram  formados cerca de 700 alunos, isso em menos de 2 anos, e, destes, cerca de 50 Delegados de Polícia e 300 agentes (Comissários, Escrivães, Inspetores e Investigadores), todos na ativa.

Feedback do curso e seus resultados: Thompson referiu, durante as aulas, que é extremamente satisfatório saber, em contínuo processo de feedback de ex-alunos, o quanto de resultados positivos se obtém, na prática, imediatamente após a participação no Curso.

Exatamente em todas as aplicações para as quais o curso se direciona e em tantas outras para as quais também pode ter seu conteúdo aplicado, como em: processos investigativos; gerenciamento de interrogatório, obtendo confissões reais e espontâneas; formação probatória via produção de narrativas em entrevistas que formem o almejado convencimento do Ministério Público, visando o oferecimento de denúncia; em Inquéritos Policiais, que o motivem; ao Judiciário, durante os depoimentos de testemunhas e interrogatório dos réus; base para decretação de prisões, muitas vezes coroando de êxito o objetivo final do trabalho de Polícia Judiciária.

É interessante observar o quanto o setor privado está interessado nestas técnicas, onde vários dirigentes de grandes empresasde todo o Brasil, das áreas de Recursos Humanos, Chefes de Seção etc., já participaram do curso e saíram satisfeitos com os ensinamentos adquiridos. Além disso, vários outros profissionais buscam os conhecimentos da área, tendo eu como colegas de curso um juiz do trabalho, gerentes de recursos humanos, setor bancário e empresários da serra gaúcha.

 
Parabéns ao Thompson Cardoso pelo formato enxuto do curso e o seu conteúdo. Foi interessante rememorar conceitos e ensinamentos antes vistos e já esquecidos.

sexta-feira, 22 de janeiro de 2010

Lista de Blogs sobre Segurança na Web

Como não ficou pronto o que estou escrevendo, achei interessante replicar sobre os blogs sobre Segurança na Web, escritos em Português, quer seja de Portugal, quer seja do Brasil, compilados pelo Sandro Suffert neste post.

Aqui fica a lista:

  1. Alexandro Silva: http://blog.alexos.com.br
  2. Gabriel Lima: http://www.falandodeseguranca.com
  3. Maycon Vitali : http://blog.hacknroll.com
  4. Luiz Zanardo: http://siembrasil.blogspot.com
  5. Alexandre Teixeira: http://foren6.wordpress.com
  6. SSegurança: http://sseguranca.blogspot.com
  7. Lucas Ferreira: http://blog.sapao.net
  8. Fernando Ammate – http://segurancaimporta.blogspot.com
  9. Tony Rodrigues: http://forcomp.blogspot.com
  10. CAIS/RNP: http://www.rnp.br/cais/alertas/
  11. Luis Rabelo: http://forensics.luizrabelo.com.br
  12. Paulo Braga: http://cyberneurons.blogspot.com
  13. Marcelo Souza: http://marcelosouza.com
  14. Anchises: http://anchisesbr.blogspot.com
  15. Wagner Elias: http://wagnerelias.com
  16. Nelson Brito: http://fnstenv.blogspot.com
  17. Microsoft BR: http://blogs.technet.com/risco
  18. Anderson Ramos: http://www.flipside-scp.com.br/blog/
  19. William Caprino: http://mrbilly.blogspot.com
  20. NaoPod PodCast: http://naopod.com.br
  21. Ivo e Ronaldo: http://brainsniffer.blogspot.com
  22. Rodrigo Montoro: http://spookerlabs.blogspot.com
  23. Otavio Ribeiro: http://otavioribeiro.com
  24. Luis Bittencourt: http://arquivosmaximus.blogspot.com
  25. Bruno Gonçalves: http://g0thacked.wordpress.com
  26. NextHop: http://blog.nexthop.com.br
  27. Linha Defensiva: http://www.linhadefensiva.org
  28. ISTF: http://www.istf.com.br
  29. InfoAux: http://infoaux-security.blogspot.com
  30. RfdsLabs: http://www.rfdslabs.com.br
  31. Nod32 e Segurança: http://esethelp.blogspot.com
  32. CamargoNeves: http://camargoneves.wordpress.com
  33. Luiz Vieira: http://hackproofing.blogspot.com
  34. Pedro Quintanilha: http://pedroquintanilha.blogspot.com
  35. Gustavo Bittencourt: http://www.gustavobittencourt.com/
  36. Raffael Vargas Imasters UOL: http://bit.ly/8lyvdT
  37. Alex Loula: http://alexloula.blogspot.com
  38. Victor Santos: http://hackbusters.blogspot.com
  39. Fábio Sales – http://www.abrigodigital.com.br
  40. Drak – http://deadpackets.wordpress.com
  41. Edison Fontes – http://edison.fontes.blog.uol.com.br
  42. David Sopas – http://www.websegura.net/ (PT)
  43. ComputerWorld – http://computerworld.uol.com.br/seguranca
  44. IDGNow – http://idgnow.uol.com.br/seguranca/
  45. Unsecurity: http://www.unsecurity.info (PT)
  46. Infosec Portugal: http://www.infosec.online.pt (PT)
  47. CrkPortugal: http://www.crkportugal.net (PT)
  48. Seg. Informática: http://www.seguranca-informatica.net (PT)
  49. ISMSPT: http://ismspt.blogspot.com (PT)
  50. WebAppSec: http://webappsec.netmust.eu (PT)
  51. Miguel Almeida: http://miguelalmeida.pt/blog_index.html (PT)
  52. Emerson Wendt: www.emersonwendt.com.br

Ouso citar um 53º: www.crimesciberneticos.ning.com, que é uma rede de discussões, administrada por mim, com Grupos sobre:

- investigação de crimes virtuais;

- atualização de contatos com provedores de internet e de conteúdo;

- incidentes de segurança na web;

- debates externos; e,

- segurança da informação.

Obs.: alguns grupos são restritos à policiais civis e federais.

Existe também a possibilidade das discussões através de fóruns, criados por assunto. Um deles é sobre as pessoas que estão precisando de ajuda e que podem, lá, receber orientação de profissionais.

Aguardo a participação de pessoas interessadas no assunto e com intuito de aprofundar os debate, e, se for o caso, auxiliar nas respostas aos interessados.

quarta-feira, 20 de janeiro de 2010

Os dados estatísticos do CERT sobre incidentes de segurança na web e o que eles representam


Sempre acompanho, atenta e preocupadamente, as notícias e os índices relativos às notificações de incidentes de segurança, especialmente se voltadas para o Brasil.

Aliás, o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança) tem estatísticas muito bem elaboradas sobre isso desde 1999, divulgando-as a cada trimestre (é claro que o aprimoramento vem a cada ano). Na última palestra que ministrei sobre o assunto utilizei bastante material disponibilizado no site, neste link.
Tabela Geral - Cert

Caso considerássemos o primeiro ano de coleta das informações, 1999 – veja tabela do CERT acima –, quando apenas 3107 incidentes foram notificados, chegaríamos hoje a uma porcentagem astronômica de crescimento das notificações. No entanto, o crescimento de 61% do ano de 2008 para 2009 já é bastante preocupante.

Mas o interessante mesmo é fazer uma análise, mesmo que só de 2008 e 2009, nos “tipos de ataque” reportados ao CERT, pois houve um aumento substancial no número de “fraudes” (categoria que engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.), as quais representam quase 70% das 358.343 notificações, com um crescimento de 79% em relação ao ano anterior. Veja as imagens abaixo e a tabela com os valores totais aqui:

Incidentes por espécie em 2009


Outros aspectos interessantes dos dados estatísticos divulgados pelo CERT.br:


a) As notificações sobre cavalos de tróia reduziram em 23% em relação a 2008 e correspondem a 8,79% das fraudes;


b) Houve um crescimento das notificações de eventuais quebras de direitos autorais, que chegaram a 220.933 no ano (88,25% das fraudes), correspondendo a um crescimento de 104% em relação ao ano anterior;


c) Também ocorreu um número significativo de de notificações de páginas falsas de bancos, sofrendo um aumento de 112% em 2009 (porém, apenas 2,5% das fraudes notificadas);


d) As notificações relativas a varreduras (scans) totalizaram 52.114, um aumento de 19% se comparado ao ano anterior;


e) Dentro dos scans, as varreduras envolvendo a porta TCP 25 (SMTP 25/TCP), que no ano anterior representavam 5% do total, em 2009 subiram para 18% (embora esta não seja a porta mais escaneada, pois os scans sobre a porta 22/TCP representam 44,67% dos incidentes notificados);

Agora, importante mencionar alguns outros dados, digamos “temporais” e “espaciais”, que chamam a atenção:


1) Os meses de janeiro e fevereiro de 2009 foram campeões em encaminhamento de incidentes ao CERT.br. A partir de julho não houve mais do que 10.000 notificações/mês. Veja o quadro;


2) Relativamente ao dia da semana, a grande maioria dos incidentes foi notificado nas segundas, quartas e quintas-feiras, havendo um percentual bastante baixo nos sábados e domingos. Veja o quadro;


3) 82,27% dos ataques reportados têm origem no Brasil, que é seguido de EUA (4,41%), China (3,24%), Peru (0,87%) e Coréia do Sul (0,80%). Veja o quadro completo aqui.


Mas, afinal, o que estes dados representam?

Os dados são preocupantes, pois que, quantitativamente, revelam um crescimento, até mais do que natural, das notificações. Se fossemos levar em conta o crescimento dos usuários da internet no Brasil em um patamar de 10 a 15%, a projeção natural, salvo um juízo mais crítico e correto, das notificações seria nesse patamar, tal qual vinha ocorrendo nos anos anteriores. Ou, até uma diminuição, a exemplo de 2007!

De outro lado, o crescimento em 61% das notificações de incidentes não revela, necessariamente, o crescimento no mesmo patamar dos crimes virtuais – sobre os quais, aliás, não se tem dados estatísticos, senão os divulgados pelo Safernet, através dos “indicadores”.

Justifico minha afirmação: em uma grande parte das notificações o crime virtual sequer chega a ocorrer, como por exemplo os casos dos cavalos de tróia, pois que as pessoas que encaminham os dados ao CERT têm o conhecimento necessário e evitam ser vítimas dos criminosos virtuais. De outro lado, uma imensa maioria das vítimas de fraudes eletrônicas bancárias sequer chega a comunicar o incidente ao CERT e tão somente ao estabelecimento bancário do qual é cliente.

Assim, uma análise completa a respeito dos crimes virtuais deve abranger não só os aspectos quantitativos divulgados pelo CERT.br (muito importantes, por sinal), mas, também, os colhidos pelos sistema bancário, Safernet, outros centros e grupos de respostas aos incidentes de segurança, além dos dados quali e quantitativos dos órgãos policiais.


A criação, em todos os Estados, de órgãos especializados ajudaria a estabelecermos uma quantificação de vitimas e autores nos crimes cibernéticos. Usei o termo “ajudaria”, pois ainda assim teremos uma cifra negra (casos de subnotificação ou omissão de notificação às autoriades policiais) bastante grande.

Bom, por ora acabaram-se os argumentos, mas sei que vários que lêem o blog e que têm suas opiniões sobre o assunto vão dar seus pitacos através de comentários/opiniões, seja aqui no blog seja no twitter.




domingo, 17 de janeiro de 2010

O exemplo de Minas Gerais e as Operadoras de telefonia

Mais uma vez, por sugestão do Dr. Renato de Araújo Cardoso, estou escrevendo algo. Eis o tópico: o Estado de Minas Gerais deu um exemplo e aprovou e sancionou a Lei referente ao fornecimento de informações por concessionária de telefonia fixa e móvel para fins de segurança pública.

Eis o texto legal:

LEI Nº 18.721, DE 13 DE JANEIRO DE 2010.

Dispõe sobre o fornecimento de informações por concessionária de telefonia fixa e móvel para fins de segurança pública.

O GOVERNADOR DO ESTADO DE MINAS GERAIS,

O Povo do Estado de Minas Gerais, por seus representantes, decretou e eu, em seu nome, promulgo a seguinte Lei:

Art. 1º. Fica a empresa concessionária de serviços de telefonia celular obrigada a fornecer informações sobre a localização de aparelhos de clientes à polícia judiciária do Estado, mediante solicitação, ressalvado o sigilo do conteúdo das ligações telefônicas.

SS 1º. As informações a que se refere o caput serão prestadas imediatamente, mediante requisição fundamentada e vinculada a inquérito policial, e a concessionária responderá por danos decorrentes do atraso no fornecimento dos dados.

SS 2º. A concessionária encaminhará ao Ministério Público, no prazo de quarenta e oito horas, relatório circunstanciado das informações solicitadas, para fins de acompanhamento e controle.

SS 3º. O cumprimento do disposto neste artigo não implicará custo adicional para o usuário.

Art. 2º. A concessionária a que se refere o art. 1deg. fornecerá a seus clientes, novos e antigos, formulário solicitando autorização para o fornecimento à polícia judiciária das informações de que trata esta Lei.

Parágrafo único. O cliente do serviço de telefonia móvel poderá, mediante declaração formal e expressa, firmada perante a concessionária, desautorizar o fornecimento das informações a que se refere o caput.

Art. 3º. Na hipótese de o usuário de serviço de telefonia fixa ou móvel acionar os números de emergência, a concessionária informará automaticamente às autoridades competentes, pelo meio tecnológico disponível, a localização do telefone.

Art. 4º. O descumprimento do disposto nesta Lei sujeitará o infrator às seguintes penalidades, sem prejuízo de responsabilização civil e criminal, ou de responsabilidade administrativa da autoridade da polícia judiciária, assegurado o devido processo administrativo:

I - retardar a entrega de informação à polícia judiciária: multa de 10.000 Ufemgs (dez mil Unidades Fiscais do Estado de Minas Gerais);

II - deixar de repassar informação à autoridade da polícia judiciária: multa de 20.000 (vinte mil) Ufemgs;

III - deixar de oferecer ao cliente a opção a que se refere o parágrafo único do art. 2deg.: multa de 20.000 (vinte mil) Ufemgs;

IV - fornecer informação não autorizada: multa de 20.000 (vinte mil) Ufemgs;

V - fornecer informação a terceiros: multa de 20.000 (vinte mil) Ufemgs.

Parágrafo único. As penalidades previstas no caput serão aplicadas em dobro no caso de reincidência.

Art. 5º. Esta Lei entra em vigor na data de sua publicação.

A idéia da lei referida vem tão somente para auxiliar a área de segurança pública, em especial a Polícia Judiciária de MG. O correto, é claro, que a Lei fosse de âmbito nacional, favorecendo todas as polícias judiciárias, civis e a federal.

Na verdade, um problema exsurge desse embróglio: tem o Estado, enquanto ente federativo, competência para legislar sobre telecomunicações, ainda mais quando se trata, em tese e em termos, de restrição de direitos (direito à privacidade e preservação dos dados)?

Numa decisão recente a 1ª Turma do STF entendeu que não cabe ao Estado legislar sobre telecomunicações. O acórdão foi dado em resposta aos mandados de segurança interpostos pela Brasil Telecom e pela Anatel contra acórdão do Tribunal Regional Federal da 4ª Região, que reconheceu a legalidade de uma Lei Estadual de Santa Catarina determinando a discriminação das ligações locais nas faturas de telefonia fixa. Veja mais aqui. A inovação da Lei sancionada em Minas Gerais está, justamente, no art. 2º, quando interage com os usuários de telefonia fixa e móvel, os quais autorizarão ou não o fornecimento das informações à polícia judiciária. Uma vez autorizada, a Operadora não será acusada de prestar informações privadas.

Acredito, sinceramente, que o fato de os estados estarem legislando sobre assuntos privativos da União é ocasionado, justamente, pela inércia e/ou incompetência desta. O certo é que a Lei deverá ser aplicada regionalmente até outro entendimento.

Tenho certeza que essas questões deveriam ter sede de debate o âmbito nacional, porém, não se percebe o intento nesse viés. O que é certo é que os Estados, através de suas Secretarias de Segurança e/ou Defesa Social, deverão forçar a União a tomar a frente e propor Lei com semelhante conteúdo. Vejo só uma questão: será que os nossos deputados federais e senadores têm interesse em aprovar tal norma, que depois poderá ser utilizada contra eles???

A discussão está posta ao debate. Aguardo comentários.

Ps.: Obrigado ao Coordenador-Geral de Inteligência da SENASP/MJ, Régis André Limana, e ao Chefe de Polícia do Estado do Rio Grande do Sul, por também enviarem a Lei para leitura e análise.

sábado, 16 de janeiro de 2010

Notícias - interessantes x preocupantes – relacionadas à segurança na web

Estas primeiras semanas de janeiro trouxeram várias notícias. Algumas #interessantes e outras #preocupantes. Claro que me refiro às questões de internet e segurança, pois se assim não fosse não teria como deixar de referir as tragédias que aconteceram no Brasil e Haiti (principalmente).

Aliás, uma das notícias preocupantes é justamente em relação ao Haiti. Os “engenheiros sociais virtuais”, aproveitando-se da tragédia e efeito saliência do terremoto no Haiti, resolveram explorá-la e enviar e-mails fraudulentos, fato que gerou inclusive um alerta do FBI. O fato foi divulgado por diversas agências de notícia, porém selecionei a notícia do IDG Now! (Obs.: só pelo IDG Now! teve 121 retweets).

A próxima notícia selecionada é relativa à utilização de vírus antigos em smartphones - telefones celulares com recursos avançados -. Esses vírus estão sendo usados para conectar os telefones a linhas com tarifa mais alta – chamados diallers -, deixando as vítimas com uma enorme conta para pagar. Veja notícia completa no Terra Tecnologia. A circunstância também é preocupante.

Mais uma, também preocupante: o britânico pedófilo que geria sites para crianças. Ele já tinha sido condenado pela Justiça britânica e trabalhou como administrador de um dos principais sites de educação do país, após mudar de nome. Isso confirma que eles estão entre nós e temos que ficar espertos! Veja a notícia completa do G1 aqui.

A última preocupante (prometo!) diz respeito à exploração de vulnerabilidade vinculada ao Internet Explorer (IE) para vários ataques, inclusive na China nesta última semana. O alerta foi dado pela McAfee Labs. Veja notícia completa aqui, aqui e aqui.

Será que não existem notícias interessantes nessa área? Claro que sim! E, por isso, separei pelo menos duas:

#interessante 1: As redes sociais e jogos online em pleno vapor e dispostas a auxiliar as questões no Haiti.

O Twitter, durante a semana, foi bastante importante com seus twetts solidários. A empresa criou o canal #relativesinhaiti que foi inundado de mensagens de parentes no exterior tentando descobrir informações sobre desaparecidos no Haiti, enquanto o canal "#rescumehaiti" está sendo usado pelos que participam diretamente das operações de resgate.

Já a Zynga anunciou o lançamento de itens especiais em seus três populares aplicativos no Facebook: FarmVille, Mafia Wars e Zynga Poker Facebook (veja notícia completa pelo Braintorm9 aqui).

Os celulares também foram importantes para o auxílio financeiro ao Haiti, pois segundo o divulgado pelo Jornal Tecnologia mais de 10 milhões de dólares foram coletados através dos fones móveis.

#interessante 2: em termos de segurança em redes sociais, a melhor informação veiculada foi a da parceria entre Facebook e McAfee. O acordo foi celebrado e divulgado pelo Facebook (em inglês), tendo como finalidade dar proteção aos usuários da rede social por um período de 6 meses, após o qual o antivírus será pago, com um custo menor (é a promessa!). Você pode ler sobre o assunto aqui (Terra Tecnologia), aqui (O Globo) e aqui (Oficina da Net).

#interessante + preocupante: o fato de hackers terem invadido um sistema que controla um cartaz eletrônico na Russia e rodarem um filme pornô. Veja mais aqui.

Bom, essas foram as notícias, relacionadas à segurança na web, que separei. Infelizmente existem mais notícias preocupantes do que interessantes. Se você tiver alguma para indicar, deixe seu comentário.
Ps.: os links dos termos #interessantes, #preocupantes e efeito saliência dizem diretamente com o Twitter.

quarta-feira, 13 de janeiro de 2010

Pirâmides e outros perigos no Twitter

--------------------------------------------------------------------

Muito se tem discutido no Twitter sobre os sites de “scripts de followers” relacionados ao Twitter. Legal ou ilegal? Crime ou não? Dados são capturados? Várias perguntas que eu e o Sandro Süffert resolvemos escrever o artigo conjunto abaixo. Comentem, critiquem etc.

-----------------------------------------------------------------------------

O twitter - ou simplesmente TT - é um serviço de micro-messaging muito simples e revolucionário. Por sua simplicidade ele é usado por mais gente que outros sites de redes sociais. Devido à sua simplicidade e à grande utilização, são centenas os sites que "complementam" as funcionalidades do twitter.

Alguns exemplos são:

A lista é muito extensa e os tipos de serviços são vários, e, obviamente, oferecem risco - especialmente aos utilizadores menos prevenidos e/ou afoitos por novos seguidores nesse "processo de interação social".

Um serviço que está na moda e que consideramos muito arriscado são as chamadas "pirâmides do twitter" (exemplos: www.trtools.com.br, tweetterfollow.com, twittertrain.info). Estes sites são procurados para aumentar o número de seguidores, os chamados "followers".

Sabemos que vários problemas de segurança (relacionados com XSS - Cross Site Scripting, CSRF - Cross Site Request Forgery e com o processo de recuperação de senhas) já ocorreram com o twitter, mas nestes casos de serviços de terceiros relacionados ao twitter o elo mais fraco é o usuário, que está ansioso por usar um novo serviço ligado ao twitter. Por isso, é importante mencionar: esses serviços oferecidos pelos sites mencionados e outros não são ilegais!

Se você se cadastra em qualquer site, como os de pirâmide de seguidores ou nos demais serviços existentes, e fornece seu usuário e senha para poder usufruir dele, seus dados já não são mais só seus.

A partir deste momento, o responsável pelo site pode: a) fazer se passar por você e enviar twitter-spam; b) se passar por você para seus seguidores via mensagens diretas (DM); c) conectar-se a perfis não autorizados e influenciar negativamente sua reputação no serviço, pois a sua conta será considerada maliciosa e reportada ao TT, que pode suspendê-la.

Por isso, uma sugestão importante é: quando acessar esses scripts sites (são referenciados assim no TT) e se cadastrar, leia antes os "Termos de Uso" e a "Política de Privacidade", isso quando existirem. Caso não possuam, desconfie e opte por não se cadastrar.

Mas, então como você pode utilizar este tipo de serviço sem correr este risco? Existem serviços que utilizam métodos mais seguros, como o OAuth (e sua versão 2, recém lançada). Ele permite que sites executem este mesmo tipo de interação com a sua conta do twitter, mas fazendo a autenticação do seu usuário diretamente no twitter. Os benefícios são vários.

Para mais detalhes, visite http://apiwiki.twitter.com/OAuth-FAQ. Uma dica prática, busque os serviços que você mais gosta de usar no site twitoauth - ele lista os sites auxiliares do twitter que já utilizam o OAuth.

Pode existir crime a má utilização dos dados cadastrais dos usuários desses scripts sites? Dependendo do caso específico, sim. Já se discutiu bastante a questão da violação de correspondência, mas sabe-se que sem a edição de um artigo penal específico referenciado a violação de correspondência eletrônica não há crime (veja opinião neste sentido e sobre o Projeto de Lei 1704/07).

Mas, então, qual crime? Como referimos, depende da situação específica, pois a forma de utilização ou de divulgação do conteúdo obtido por meio desse tipo de violação poderá constituir crime contra a honra, sem prejuízo da responsabilidade civil, violação de direitos autorais, falsidade ideológica (veja opinião a respeito, aqui e aqui) ou falsa identidade (veja opinião aqui).

O importante é que se você acha que foi vítima de algum crime virtual pelo TT, siga as instruções e registre o fato na delegacia de polícia mais próxima!

Outras dicas importantes sobre o uso da internet de forma segura você pode encontrar na excelente cartilha do cert.br. Aliás, você também pode reportar os incidentes de segurança relacionados ao CERT pelo e-mail abuse@cert.br.

Autores:

Emerson Wendt, Delegado de Polícia Civil do Rio Grande do Sul e responsável pelo Blog do Emerson Wendt;

Sandro Süffert, Consultor em Segurança e Forense Computacional e responsável pelo Blog SSegurança;

segunda-feira, 11 de janeiro de 2010

E-mail sobre chaves magnéticas de hotéis: realidade ou pulha virtual?

Por sugestão do Dr. Renato de Araújo Cardoso, Delegado de Polícia em Minas Gerais e Gestor de Inteligência Estratégica junto à Coordenação-Geral de Inteligência da Senasp/MJ, faço a avaliação sobre um e-mail que circula por aí e que faz referência às chaves magnéticas usadas em hotéis.
Veja o texto do e-mail:
Alguma vez vc já se perguntou o que está armazenado nas chaves magnéticas (que se assemelham aos cartões de crédito) dos hotéis?
Veja a resposta e mude seus hábitos:
a. Nome do hóspede
b. Endereço parcial do hóspede
c. Número do quarto do hotel
d. Datas do check-in e ckeck-out
e. Número do cartão de crédito, e sua data de validade, do hóspede!

Quando você as devolve na recepção, suas informações ficam lá disponíveis para qualquer funcionário com acesso ao scanner do hotel. Ou ainda, um funcionário pode levar um monte delas para casa e, utilizando um aparelho de scanner magnético, ter acesso às suas informações e sair gastando pela Internet.
Simplificando, os hotéis não apagam as informações das chaves magnéticas até que um novo hóspede faça uso delas, quando suas informações sobrescreverão as do antigo hóspede. Mas até que a chave seja re-utilizada, ela fica, geralmente, na gaveta da recepção com as suas informações nela!
Resumindo:
Guarde com você suas chaves magnéticas, leve-as para casa ou as destrua.
Nunca as deixe no quarto, no lixo do banheiro e NUNCA as devolva para a recepção quando estiver fazendo o check-out . Os hotéis não podem cobrar pelas chaves (é ilegal) e você terá certeza de que não estará deixando um monte de informações pessoais valiosas que podem ser facilmente acessadas, e utilizadas, com um scanner magnético.
Pela mesma razão, se você chegar ao aeroporto e descobrir que ainda está carregando a chave com você, não a jogue nas cestas de lixo. Leve-a para casa e a destrua com uma tesoura, cortando principalmente a faixa magnética nas costas da chave.

Informação: Departamento Policial Federal
Como podem ver, o e-mail vem assinado, em tese, pela Polícia Federal. Verdadeiro? Aliás, a sugestão do Dr. Renato de Araújo Cardoso era de que o assunto fosse verdadeiro eu deveria escrever algo no meu blog. Porém, justamente por não ser verdadeiro o conteúdo dessa corrente que segue pela web é que escrevo.
Embora não tenha encontrado nada a respeito em sites especializados em hoax (embustes/pulhas virtuais) – como o Quatro Cantos ou E-Farsas –, não tem como não afirmar uma coisa: trata-se de uma pulha virtual, bem elaborada é claro!
E por que é um hoax? Primeiro, pelo “clima de terror”, a conspiração mencionada e o famoso “repasse para amigos e familiares”, coisas típicas de pulhas virtuais; segundo, os criadores de um hoax sempre vinculam o alerta a uma pessoa ou órgão/organização que possui confiança perante a população; terceiro, porque os cartões apenas guardam informações referentes à data e a hora do check-in e do check-out. Vocês poderão ver um pouco mais na resposta ao assunto aqui; quarto, mesmo que o cartão magnético dos hotéis contemplasse todas essas informações, o uso errôneo delas pelo próprio hotel ou por algum funcionário geraria direito à indenizações.
Ademais, finalizando, o hotel ao hospedar alguém assume sobre o dever de confidencialidade das informações prestadas pelos clientes.
Mesmo não sendo verdadeiro o assunto do e-mail, cabem seguir as recomendações quanto ao uso de cartões de crédito pela Febraban.
Caso alguém queira ler mais sobre o assunto: Tarcisio Cavalcante, no Ciso Blog, e; Luciano Pires, respondendo ao assunto em fórum.

quinta-feira, 7 de janeiro de 2010

Controlar ou não os que os filhos vêem e fazem na web?

Essa pergunta sempre me é feita por alguma pessoa durante os cursos e palestras que ministro. E a resposta que dou é sim, temos de controlar, mesmo que moderadamente, o que os filhos estão fazendo virtualmente.

Conforme divulgado pela INFO, já em 2004 a preocupação com o assunto era grande, pois “crianças e adolescentes brasileiros entre 10 e 14 anos acessam a internet em casa e não são controlados ou censurados pelos pais”. Na pesquisa, realizada pela Módulo Education Center em São Paulo, Rio de Janeiro e Brasília, chegou-se ao dado preocupante de que 50% dos pais não sabiam o que os filhos faziam na internet.

Se a preocupação já era grande 5/6 anos atrás, quando não havia a frede das redes de relacionamento social como Orkut, Sonico, Facebook etc. e dos blogs ou microblogs, imaginem agora com tudo isso. E mais: as crianças, com 3, 4, 5, 6, …, 9 anos já estão usando, compulsivamente, a web e os sites de relacionamento.

Mas nada está perdido! Felizmente já existem programas para o controle do que os filhos fazem no mundo virtual.

Quando lançado o Windows Vista já se teve a opção de “Controle dos Pais”, criando-se contas limitadas e controladas no computador para os filhos. O Admin do computador, ao se logar no computador automaticamente é avisado sobre o “relatório”. Você pode ver como configurar o “Controle dos Pais” neste tutorial da própria Microsoft.

No Windows 7 a opção é semelhante ao Vista, extendendo-se ao Windows Media Center, porém sem a Filtragem de Sites e Relatório de Atividades que continha o Vista. Você deve instalar/contratar controles adicionais. Você pode ver mais aqui.

Para quem procura programa bastante objetivo e personalizável a solução é o K9 Web Protection, citado pelo Fernando Panissi na coluna de hoje no G1 Tecnologia. Vale a pena ler. Porém, existem várias outras opções aqui: é uma questão de testar e ver qual se adapta ao seu interesse.

Existem, também, opções pagas como a oferecida pelo Uol e pela Host Sudeste Informática Ltda (programa chamado “Controle de Pais”). É importante observar que não são indicações, mas apenas sugestões; quem quiser fazer o controle do que os filhos navegam na internet e pagar por isso devem avaliar bem as opções!

Vocês poderão ler mais em:

- Blog Diga Não à Erotização Infantil neste post;

- Controle dos pais no MSN (várias opções), aqui;

- Controle dos pais no Megacubo, aqui.

Bom, neste post era só. Comentem e opinem. Caso tenham um bom programa de controle para a navegação na web pelos filhos é só indicar que farei o uptade do post, claro que com a referência da sugestão.

Abraço.

terça-feira, 5 de janeiro de 2010

Blog com layout novo no ano novo (2010)

Depois de ter feito a adequação do domínio (próprio), com a ajuda da @JulianaDB, do Dicas Blogger, a virada do ano foi importante para atualizar o layout do blog, que vai continuar com os mesmos assuntos, buscando sempre aperfeiçoar o conteúdo. Eis a imagem do novo blog:

Blog 1

Como vocês puderam o observar, há a possibilidade de fazer automaticamente a tradução para vários idiomas e, também, através do linkbar, ter acesso aos assuntos selecionados por mim.

Para os alunos policiais, que têm sempre o suporte do blog nas suas investigações de crimes virtuais, as ferramentas continuam postadas do lado direito do blog, cada uma com sua peculiaridade e retorno, que deve ser lido de acordo com o objetivo da diligência cibernética:

Blog 2 Da mesma forma, conforme a imagem acima, os links para o scanner de arquivos e de máquinas continuam ativos, chamando a atenção para os melhores: de arquivos o Vírus Total, e; de máquinas o Kaspersky.

Para os demais blogueiros e que querem fazer parceria e divulgar o blog podem fazê-lo através do Banner criado pela @JuliadaDB.

Na parte de baixo do blog constam os seguidores, o bate papo, os blogs que eu indico e sigo, além dos principais marcadores e dos últimos leitores através do BlogBlogs, conforme imagem.

Blog 3

Bom, a primeira postagem do ano é essa. Espero contar com a contribuição e sugestão de todos os leitores. No demais, vou ver se consigo curtir as férias agora em janeiro, em plena reforma da casa (rsrsrsrs). Abraço a todos.

segunda-feira, 4 de janeiro de 2010

Órgãos especializados em combate aos crimes virtuais: Presente e Futuro (esperança!)

Aceitando as sugestões dos twitteiros @jeanleonino e @CaioLausi, o último post de 2009 tem a ver com o que já existe de combate aos #crimesvirtuais no Brasil, lógico que dentro das Polícias Civis, e que esperamos (#esperança) que melhore neste aspecto do combate aos crimes de alta tecnologia e praticados via rede mundial de computadores.

O importante é começar pela casa, o Rio Grande do Sul: já está criada, por Decreto do Governo do Estado, a Delegacia de Repressão aos Crimes Informáticos (DRCI) junto ao DEIC (Departamento Estadual de Investigações Criminais) e a instalação está programada para os três primeiros meses de 2010 (#esperança).
Também, foi inaugurada, recentemente a Delegacia Online, onde os usuários de todos RS podem efetivar registros de ocorrência: https://www.delegaciaonline.rs.gov.br/dolpublico/index.jsp. Os usuários do TT podem adicionar a @delegaciaonline e acompanhar as notícias da Polícia Civil do RS. É importante ressaltar que 580 agentes e delegados foram treinados entre 2008 e 2009 e as Delegacias de Polícia do RS estão aptas a receber e registrar ocorrências relacionadas ao assunto.

Agora, os demais Estados:
- Santa Catarina: não possui delegacia específica, mas possui possibilidade de registro virtual de ocorrências, com orientações (http://www.policiacivil.sc.gov.br/beta/Default.asp?ver=delegaciaeletronica) e local para registro (http://sistemas.sc.gov.br/bocidadao/), inclusive para denúncias, anônimas ou não, perda de documentos etc.

- Paraná: existe na Polícia Civil do PR o NURCE (Núcleo de Repressão aos Crimes Eletrônicos), com localização (basta pesquisar por "NURCE") em três cidades: Cascavel, Maringá e, logicamente, Curitiba.

- São Paulo: existe, além da Delegacia Eletrônica para registro de ocorrências,a 4ª Delegacia de Delitos Cometidos por Meios Eletrônicos DIG/DEIC, localizada na Avenida Zack Narchi,152 - Carandiru, São Paulo/SP (CEP: 02029-000), telefone: (0xx11) 2221-7030 e e-mail 4dp.dig.deic@policiacivil.sp.gov;

- Rio de Janeiro: possui a Delegacia de Repressão aos Crimes de Informática (DRCI), com endereço na Rua Professor Clementino Fraga, nº 77, Cidade Nova (prédio da 6ª DP), Rio de Janeiro/RJ (CEP: 20230-250), telefones (0xx21) 2332-8192, 2332-8188 e 23328191 e e-mails drci@policiacivil.rj.gov.br / drci@pcerj.rj.gov.br. Titular é a Dra. Helen Sardenberg.

- Espírito Santo: Núcleo de Repressão a Crimes Eletrônicos (NURECCEL), com endereço na Av. Nossa Senhora da Penha, 2290, Bairro Santa Luiza, Vitória/ES (CEP: 29045-403), telefone (0xx27) 3137-2607 e e-mail nureccel@pc.es.gov.br;

- Distrito Federal: Divisão de Repressão aos Crimes de Alta Tecnologia (DICAT), com endereço na SIA TRECHO 2, LOTE 2.010, 1º ANDAR, BRASÍLIA-DF (CEP: 71200-020), telefone (0xx61) 3462-9533 e e-mail dicat@pcdf.df.gov.br. A DICAT é uma Divisão especializada em crimes tecnológicos que tem como atribuição assessorar as demais unidades da Polícia Civil do Distrito Federal, não atendendo diretamente ao público, por isso a vítima de crime cibernético no Distrito Federal pode procurar qualquer uma das Delegacias de Polícia (as não especializadas) para efetuar registro da ocorrência.

- Goiás: embora no site do Safernet tenha menção, o setor dentro da DEIC não está ativo, funcionando mais diretamente dentro da Gerência de Inteligência da Polícia Civil, mais precisamente no Setor de Análise (0xx62) 3201-6352 e 6357). Recentemente fiz um treinamento com o pessoal de lá, com 23 alunos entre alunos e delegados. Portanto, caso o registro seja feito nas Delegacias certamente elas procurarão orientação com a área de inteligência sobre como proceder nas investigações.

- Mato Grosso do Sul: possui uma Delegacia Virtual, para registro de ocorrências. Não encontrei informações de alguma delegacia ou núcleo específico, porém dois policiais (um agente e um delegado) fizeram o curso na Acadepol RS em 2008. Além disso, conforme publicação aqui há um policial de lá especialista no assunto (Michel Weiler Neves). Obs.: vou procurar mais informações;

- Mato Grosso: possui uma Delegacia Virtual, para registro de ocorrências. Não encontrei informações de alguma delegacia ou núcleo específico, porém dois profissionais (uma delegada e um perito) realizaram o curso na Acadepol em 2008. Obs.: vou procurar mais informações;

- Rondônia: não possui um órgão específico, mas formou duas turmas de alunos, entre agentes e delegados, em Agosto/Setembro de 2009, habilitando profissionais de várias delegacias. Possui uma Delegacia Interativa, para registro de ocorrências online;

- Minas Gerais: DEICC – Delegacia Especializada de Investigações de Crimes Cibernéticos, com endereço na Av. Nossa Senhora de Fátima, 2855 – Bairro Carlos Prates – CEP: 30.710-020, Telefone (31) 3212-3002, com titularidade dos Delegados Dr. Bruno Tasca Cabral e Dr. Pedro Paulo Uchoa Fonseca Marques;

- Bahia: possui uma Delegacia Digital, para registro de ocorrências. Não encontrei nada sobre algum setor que trate especificamente dos #crimesvirtuais;

- Pernambuco: possui uma Delegacia Interativa, para registros de ocorrências online;.Foi onde realizei, em 2005, o primeiro curso sobre o assunto, juntamente com policiais de todo Brasil. Vou buscar mais informações sobre algum órgão específico que trate dos #crimesvirtuais;

- Ceará: possui a possibilidade de registro online de ocorrências pela Delegacia Eletrônica, mas dentre as Delegacias Especializadas não está uma específica para os #crimesvirtuais;

- Paraíba: >possui a possibilidade de registro online de ocorrências pela Delegacia Online, mas não possui um órgão específico para os #crimesvirtuais (uptade em 04/01/2010, por sugestão da Dra. Iumara Bezerra Gomes, clique e veja o blog dela);

Demais Estados: prometo que vou ampliar as informações, através de uptades deste post. Conto com as contribuições de todos, inclusive para correções sobre os itens colocados acima.

O interessante é que cada vez mais as Polícias Civis estão buscando a especialização sobre o assunto. E a #esperança é de que possamos chegar no período da Copa 2014 com delegacias específicas em cada Estado brasileiro.