Inscreva-se para receber atualizações!

Blog do Emerson Wendt
Powered by Conduit Mobile

quarta-feira, 24 de fevereiro de 2010

Segurança nas redes sociais (Parte II) – Twitter e Formspring

No post anterior da série falamos sobre o Orkut. Hoje falaremos sobre o Twitter (TT) e os aspectos a ele relacionados.
Em primeiro lugar, seguindo a linha de fuga das redes sociais, caso você esteja cansado do TT e queira cometer suicídio virtual, basta acessar este link (http://bit.ly/9PZJ0s), colocar seu login e senha e seguir os passos indicados. O site ainda pergunta se isso é realmente um “tchau”, dando várias orientações. Se você realmente está seguro que não quer mais saber do TT é só clicar em “Okay, fine, delete my account”, conforme imagem abaixo:
Twitter - Delete
Excluir permanentemente sua conta pode não ser a opção mais interessante, pois o uso de mídias sociais hoje é muito intenso e várias oportunidades podem surgir, seja no aspecto pessoal seja no profissional. Então, caso você não queira todos bisbilhiotando o que você digita nos 140 caracteres do TT, a sugestão é seguir o "caminho do meio”, ou seja, de restrição, da seguinte maneira:
- Após acessar sua conta no TT vá nas configurações (settings e account) e bem abaixo (conforme imagem) há a possibilidade de restringir seus tweets (Protect my tweets). Marque a opção e clique em “Save”. Você vai poder notar que ao lado esquerdo do “Save” tem um link para o “Delete my account”, a opção anteriormente mencionada (veja as setas na imagem).
Twitter - Protect
Além disso, visando restringir ainda mais sua conta, você pode pode ir nas mesmas configurações, porém em “Connections” e verificar quais os serviços que tem acesso ao seu Twitter. Caso você queira, podes tranquilamente remover o acesso do serviço indesejado clicando em “Revoke Access”, conforme este tutorial (http://bit.ly/dxaGWl) do @hordones.
Bom, vamos dizer que você estava chateado e resolveu de uma vez por todas dar um fim no seu TT e alguns dias ou meses depois se arrepende e pensa “vou ter de fazer tudo de novo, criar um novo perfil e seguir pessoas, mostrar que sou eu etc.” Não se apavore! Na verdade não há essa necessidade, pois o Twitter tem a possibilidade de restaurar sua conta e não há necessidade de se cadastrar novamente, podendo utilizar o mesmo e-mail e senha. Utilize-os e acesse o TT, quando aparecerá uma tela em que você deverá clicar em restore my account. Após isso, aguarde um email e clica no link que veio junto com esse email. Aparecerá outra janela de confirmação dizendo “Your account is ready to go. Please check your email". Outro e-mail vai ser enviado para sua conta, onde você, novamente, vai clicar e isso o levará a uma tela para troca de senha. Após trocar a senha é só clicar sobre “Proceed to your account”, quando estará concluída a restauração, exatamente do jeito que deixaste o TT, com seguidores, tweets etc. Caso queira aproveitar para mudar user name é só ir nas configurações e verificar se o novo nome está disponível (caso faças alguma mudança, não esqueça de salvar. Veja um tutorial a respeito: http://bit.ly/7T2oWN.
Caso sua mídia social preferida e/ou seu problema seja o Formspring.me, sugiro a leitura deste outro tutorial do GF Soluções do Gustavo, clicando aqui (http://bit.ly/6Zyxca). Da mesma forma que o TT, uma vez deletado ele pode ser restaurado, pois fica apenas oculto.
Uma observação muito importante ao final: se você estiver aflito por novos seguidores no TT não deixe de ler o artigo feito em conjunto com Sandro Süffert (@suffert) falando sobre “Pirâmides e outros perigos no Twitter” (http://bit.ly/7xwwzZ), especificamente sobre os scripts sites.
Twitter - Postagem

segunda-feira, 22 de fevereiro de 2010

Leis de controle da Internet: proteção ou censura?

[post update em 14/03/2010]

Proteção Na semana que passou, mas especificamente na terça-feira 17, a Assembleia Nacional Francesa aprovou, em primeira instância, uma lei chamada LOPPSI II (em tradução livre = Lei de Orientação e Programação para a Segurança Interior). A reportagam publicada pelo Uol Tecnologia questiona quanto aos "Limites na Internet", se são espécie de censura ou proteção, isso porque dentre as propostas dessa lei está a possibilidade do governo instalar trojans em computadores para monitorar pessoas, dentre outros aspectos.

Como referido, a Lei ainda não foi aprovada e só será colocada em prática quando passar  pelo exame  de mais duas instâncias legislativas.

O projeto de lei, pelo divulgado em vários sites de notícias, é bastante abrangente, incluindo o combate à pornografia infantil, a pedofilia e a criminalização do roubo de identidades online. As duas primeiras já estão previstas na legislação brasileira e a terceira integra do Projeto da "Lei Azeredo", que tem sido chamada de AI5 Digital e que estaria fadado ao fracasso legislativo (pelo projeto brasileiro, o art. 285-A do Código Penal teria esta redação: “Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.”, com uma pena de 1 a 3 anos de reclusão).

Um bom exemplo do projeto da lei francesa - aliás, nada disso foi previsto nos projetos brasileiros - é que a LOPPSI II prevê o aumento de gastos da polícia, através de investimentos em monitoramento de câmeras, aumento de penas para quem roubar identidades na internet, a ampliação do acesso ao banco de dados de DNA da polícia nacional e a possibilidade de grampo em linhas telefônicas e monitoramento de acesso à internet. Esta última, referente à interceptação telefônica e telemática já está prevista no Brasil através da Lei 9.296/96.

Um ponto polêmico do projeto francês é o que obriga os provedores a bloquear ou filtrar endereços de internet, que o governo julgue necessário. Censura Na verdade, aí não se põe, propriamente, um limite à atividade estatal de controle. Os filtros já vem sendo usados por países como a China, Irã e Arábia Saudita. A grande crítica a esse ponto do projeto é que não adianta ativar "o filtro" pois os conteúdos continuarão a ser trocados através das chamadas redes P2P (ponto a ponto). Deputados da oposição francesa ainda tentaram vetar o bloqueio de URLs e sugeriram que os filtros de internet fossem implantados provisoriamente, para verificar se serão eficazes, porém a maioria governista rejeitou a proposta. O custo desse controle através de filtro e bloqueio de URLs custaria à França cerca de 140 milhões de euros.

Há que se referir que as críticas internas na França já vinham ocorrendo, inclusive em relação a um projeto anterior aprovado, relativo à penalização dos usuários que baixassem conteúdo protegido por direito autoral por autoridades administrativas. Em reação, em setembro do ano passado, houve modificação do projeto indicando o "juiz" como autoridade responsável pela penalização pretendida in casu.

Esse “privilégio” da discussão sobre o controle por filtros não é exclusivo da França, sendo também presente na Austrália. Neste país houve a criação, em protesto, do site http://www.internetblackout.com.au/. Afirmam os ativistas, contrários à intenção do governo australiano, que os filtros (a) não vão proteger as crianças, (b) todos australianos vão pagar por uma solução ineficaz, e (c) que isso é um precedente muito perigoso, comparando-o a países que já adotam essas restrições.

Na Itália, conforme esta divulgação, os vídeos postados na internet teriam o mesmo controle do que os programas de TV. Após a agressão, em dezembro de 2009, do Primeiro-Ministro italiano Sílvio Berlusconi, as discussões tomaram mais força e também foi pensada uma restrição maior, visando impedir que sites sejam usados para manifestações e incentivos à violência (http://zapt.in/4Ay). Importante referir que lá o envio de trojans para o computador do suspeito já é autorizado, mediante a vênia judicial.

Conforme esta notícia, do dia 14/03/2010, a discussão voltou à "pauta mundial" com a Venezuela, quando o presidente Hugo Chavez referiu que a internet precisa ser regulada, citando a chanceler alemã Angela Merkel para defender sua tese.

Voltando à questão nacional, cujo art. 22 foi citado em outro post no blog (http://zapt.in/3wL), que obrigaria aos provedores de serviços de internet a guarnecer informações para repassar às autoridades (policiais e judiciais), as discussões que pairam sobre ele no fórum sobre o "Marco Civil" é "sobre o que guardar". Eu posso ser criticado, assim como fui naquele fórum, mas eu não tenho como conceber o sucesso de uma investigação se não tiver os registros de acesso de um suspeito para analisar. Claro que isso jamais foi pensado sem que houvesse uma autorização judicial para tanto! Assim, acho fundamental a guarda dos logs de acesso e os logs dos conteúdos acessados, registros a serem guardados pelos provedores de serviços de internet (PSI).

O Brasil está longe ainda de chegar a um consenso do que é ideal em termos de controles e restrições na internet, pois basta ver as 581 páginas do relatório com as participações do Marco Civil (clique e baixe o relatório em .pdf).

Certo é que a falta de controle é um caminho aberto para os criminosos virtuais e o controle excessivo é um atrapalho ao desenvolvimento natural da rede mundial.

Obs.: a primeira imagem é um símbolo cósmico da proteção e a segunda é usada comumente para representar a censura.

Colabore com a discussão e deixe seu comentário!

sexta-feira, 19 de fevereiro de 2010

Sua segurança na rede: tutorial sobre o guardador de senhas Keepass

Já comentei aqui no blog, no final do ano passado neste post (http://zapt.in/476), sobre a importância de se criar e manter senhas seguras, inclusive como lembrar delas, mesmo sem uso de programas.
A postagem de hoje é mais simples e objetiva: indicação de um tutorial sobre o programas  Keepass, sugerido naquele post e que você pode carregar no seu pen drive.
Você pode baixar o Keepass neste link. O programa é seguro e fácil para a guarda de senhas.
Encontrei um tutorial bastante completo, porém em duas partes:
- Tutorial Keepass - Parte 1 (http://zapt.in/478)
- Tutorial Keepass - Parte2 (http://zapt.in/47C)
Para facilitar o trabalho, compilei os dois tutoriais em um documento só, referenciei autor e site de origem e o coloquei disponível neste local:



Por hoje é só! Abraços.

quarta-feira, 17 de fevereiro de 2010

Secunia PSI: um programa para ajudar na segurança do seu PC

Já tinha sugerido esse programa no TT (Twitter) e para alguns usuários que entravam em contato comigo perguntando sobre a segurança no PC (saber o que está inseguro, desatualizado, que contém falhas etc.). Assim, hoje a pretensão é elaborar um pequeno tutorial de funcionamento do PSI (Personal Security Inspector) da Secunia, indicado pelo Sandro Süffert neste post (http://zapt.in/41o) e que pode ser baixado neste link (http://zapt.in/3uz). O Secunia PSI é uma ferramenta de segurança projetada com o objetivo de ajudar a proteger contra vulnerabilidades de todo o tipo de software.
Após baixar o arquivo executável e instalar o programa ele abrirá e fará uma verificação nos seus programas, informando-lhe da % de segurança e vulnerabilidades existentes. A formatação inicial é simples, conforme imagem abaixo.
Secunia Simples Como podem observar na imagem ao lado, a informação é básica e com possibilidade de fazer a verificação no seu computador, tendo o resultado com o gráfico de segurança na parte de baixo (clique na imagem para ampliá-la). Na parte superior direita da janela do PSI tem a opção de você ir para a parte mais avançada do programa, quando poderás verificar vários outros aspectos, que não são informados na versão simples.
Como o Secunia PSI faz uma varredura dos programas instalados, acaba gerando uma lista na qual separa os inofensivos dos demais. Na parte avançada  poderás verificar que aparece uma lista de possibilidades, dividindo também os programas “inseguros” do seu computador em dois tipos, caso eles tenham ou não suporte do autor, além de verificar a segurança da sua navegação. Veja a imagem abaixo:
Secunia Visão Geral
Para cada vulnerabilidade identificada, o Secunia PSI descreve o problema e oferece a solução ou não, caso o autor do programa ainda não tenha disponibilizado a correção da falha informada. Com apenas um clique, o programa te encaminha para a página do autor ou carrega um assistente que conduz passo a passo a atualização. Veja um exemplo na imagem abaixo, em que o relato é sobre o programa “Inseguro” Wireshark, cuja versão está desatualizada. O PSI dá a opção de “Corrigir” a falha e dá as instruções. No exemplo em tela, clicando no “Download da Solução” levou-me a baixar e instalar a nova versão do programa.
Secunia Atualização
Caso o autor não tenha disponibilizado a correção a opção “Download da Solução” aparecerá em cinza. Caso você tenha instalado a recomendação e o programa não detectar automaticamente isso, clique em “Verificar novamente”.
Secunia Aviso Atualização Sempre que há alguma atualização, o programa informa isso a você, conforme mensagem ao lado. No caso que estou mostrando houve uma atualização do navegador Google Chrome. Conforme a imagem anterior, caso você decida desinstalar o programa com a falha o PSI também te dá o caminho correto no “Adicionar e Remover Programas”. Se, no entanto, optares por clicar em “Ignorar Programa” você está dizendo ao PSI que ele pode fazer a varredura das vulnerabilidades em todos programas, exceto naquele, o que não é recomendado.
Uma constante preocupação são os navegadores, pois que suas vulnerabilidades são usadas em grande quantidade dos ataques pela internet. Geralmente, quando há notificação de alguma vulnerabilidade ela demora para ser corrigida e a informação que aparece é “Inseguro, sem correção disponível” (veja imagem abaixo).
Secunia Navegadores
Clique para ampliar
Por isso, é importante você ter sempre mais de um navegador à sua disposição. Quando um estiver vulnerável, utilize o outro e assim por diante.
Lembre-se de verificar a sua máquina constantemente, mas lembre-se de que sempre temos novos inimigos virtuais e as falhas estão aí. Por isso, atenção é fundamental.

sexta-feira, 12 de fevereiro de 2010

Qual o melhor antivírus? (update)

Escrevi sobre isso em setembro de 2009. Hoje, segue um update sobre antivírus gratuito ou não, com algumas dicas.

O pessoal costuma me perguntar sobre a questão dos "antivírus". Qual é o melhor? É seguro utilizar antivírus gratuito? Se meu antivírus não encontrar nenhum código malicioso no arquivo como faço para fazer a análise através de outros antivírus? Tenho como passar antivírus sem que ele esteja instalado?

Avaliação AntivírusEm primeiro lugar, não sou nenhum especialista no assunto e sugiro que procurem outras fontes de informação também. Quanto à avaliação dos antivírus, digo que é relativa: nenhum traz 100% de segurança, pois não adianta um bom antivírus se o usuário tem a "síndrome do clique" (sai clicando em tudo que aparece na internet). Quem quiser dar uma olhada, tem sites que fazem a avaliação comparativa de todos antivírus, pelo menos os principais do mercado. Um dos sites é o Super Downloads, no seguinte link. Da mesma forma, o Altieres Rohr, colunista do G1 e responsável pelo site Linha Defensiva, também faz avaliações e recomendações de antivírus. Uma indicação do Sandro Süffert é o site http://www.av-comparatives.org/, uma boa referência de comparações/testes independentes de antivírus.

Se você optar por avaliar os programas antivírus existentes no mercado não esqueça de valorar os seguintes aspectos: eficácia (detecção e remoção de malwares), desempenho (tempo de scan), consumo de memória (memória e processador), interface (facilita ou não sua vida?), linguagem (tem em português?), firewall integrado, scan de e-mail, compatibilidade com seu sistema operacional, é para seu uso pessoal ou corporativo?

Quanto aos antivírus gratuito, o de melhor avaliação é o Avast! (que também tem as versões pagas do Pró e do Internet Security). Ele é seguido do Comodo Internet Security e/ou do AVG Antivírus (as avaliações de vários sites divergem quanto quem é o segundo colocado) e, logo atrás, o AntiVir (Avira). Todos esses têm proteção residente, porém sem alguns aplicativos na versão free. Para quem tem os sistemas operacionais originais da Microsoft a sugestão é que usem o Microsoft Security Essentials, pois é perfeitamente integrado à funcionalidade da máquina e usa a mesma forma de atualização do sistema.

Além disso, tem: 1) o BitDefender, porém sem proteção residente e não elimina vírus ao carregar o Windows; 2) outra opção é o Clean AV, open source que também tem versão para uso através o pen drive (já vem junto com os programas portáteis do PortableApps); 3) Rising Free Antivírus (com recurso para detectar vírus de pen drive); 4) PC Tools Antivírus (única vantagem que tem é que é em português!), …. a lista é grande! Você quer ver toda a lista (20), veja aqui (num post de agosto de 2009 no Blog do Professor Hamilton).


  • Obs. 1: sobre os antivírus gratuitos sugiro a leitura, também, da avaliação feita pela INFO, neste link, e o vídeo e as avaliações do site Olhar Digital (muito completo!!);
  • Obs. 2: O MX One Antivirus é um software de segurança para proteger o PC dos vírus que se propagam via pen drive ou memórias removíveis, tipo os cartões de dados de máquinas fotográficas digitais e MP3s.
Para quem tiver uma reserva econômica, é importante investir em antivírus pago, pois a segurança aumenta. As melhores opções, segundo minha avaliação, são McAfee (eu uso!), Norton e Kaspersky. Para redes corporativas, as opções também são várias e com preços diferenciados.

Mas, caso mesmo assim, tendo o antivírus, gratuito ou pago, instalado e tenho desconfiança sobre minha máquina estar infectada, o que posso fazer? A verdade é que várias empresas desenvolvedoras de antivírus colocaram ferramentas à disposição dos usuários, facilitando o trabalho e também como forma de divulgar o seu produto.


Postei todas essas ferramentas, citadas abaixo,  no gadget lateral denominado Scanners Online. São sete opções para os leitores melhor estudarem a funcionalidade dos antivírus e uma forma de auxiliar na escolha do produto a ser adquirido. É bom lembrar que tem de ter um pouco de paciência, pois não é algo rápido escanear uma máquina e pode demorar mais de uma hora. Eis a lista dos scanners online de máquinas:

- AVG LinkScanner;
- BitDefender;
- F-Secure;
- Kaspersky;
- Norton;
- Panda Security;
- Trend Micro.

Da mesma forma, existem opções para escanear Scannersarquivos específicos, sendo que algumas ferramentas trabalham com base de dados de mais de 40 antivírus existentes no mercado. Também organizei um gadget lateral denominado Scanners Arquivos. Acesse os sites sugeridos e siga as orientações.

O melhor scanner online de arquivos é mesmo o VirusTotal.com, pois além de rastrear códigos maliciosos com mais de 40 opções de antivírus, ao analisar arquivos e depois de vários usos você pode fazer uma avaliação de quais antivírus são melhores e mais atualizados em relações às pragas que vão surgindo na web. Não se preocupe no fato de ter de fazer upload do arquivo, pois é uma situação normal; do mesmo modo, às vezes você terá de entrar em uma fila de análise e pode demorar mais de um minuto.

Bom as opções e dicas estão postas. O importante não é fazer como um amigo meu: "estou bem protegido, pois tenho dois antivírus instalado. O que um não pega o outro cata!" Balela! Não é seguro ter dois antivírus instalados, pois pode gerar o que chamamos de falso positivo ou falso negativo, reconhecendo como código malicioso o que não é e o que não é como sendo.

Mas o mais importante: não arrisque! As principais pesquisas indicam que o ser humano é o principal fator de insegurança na web. Você é quem faz a sua proteção.

quarta-feira, 10 de fevereiro de 2010

Órgãos especializados no combate aos crimes virtuais: atuação da Polícia Federal e denúncias online

Quando escrevi sobre os órgãos especializados no combate aos crimes virtuais em início de janeiro de 2010 mencionei tão somente as Polícias Civis do país, isso porque era a principal deficiência sabermos ou não onde existem, na seara estadual, órgãos especializados para o recebimento de registro e investigações centradas na web.

Neste post, um dia após o Dia da Internet Segura, estou relatando um pouco sobre o trabalho da Polícia Federal e as possibilidades de denúncias dos crimes praticados na web.

Comecei a acompanhar o trabalho da PF através do Rogério Nogueira Meirelles, meu primeiro instrutor sobre o assunto em 2005. O Meirelles também foi o parceiro e incentivador do Curso de Crimes Praticados pela Internet, promovido pela Acadepol/RS. Ele também me apresentou, através do Skype, ao Delegado da PF Carlos Eduardo Miguel Sobral, que é o responsável em Brasília pela repressão aos crimes cibernéticos.

Por isso, estou postando a palestra do DPF Carlos Sobral, justamente falando sobre a atuação da Polícia Federal no combate aos crimes cibernéticos, o que dá uma idéia importante da repressão realizada pelo órgão:



Além do relatado pelo Dr. Sobral, também é importante ressaltar a firmação de um convênio com o Safernet possibilitando denúncias online, conforme notícia abaixo:



O canal de denúncias online junto à  Polícia Federal pode Denúncias online dpfser acessado na página www.dpf.gov.br e depois clicar no ícone específico, com o nome “Denuncias online” (ao lado). O internauta pode preencher o formulário para os crimes de Pornografia Intantil, de Ódio e de Genocídio, havendo menção de que se o crime cometido não for por uma página na internet a melhor forma de denunciar é discar para o número 100 ou mandar um e-mail para denuncia.ddh@dpf.gov.br.

Caso você tenha sido vítima de algum crime, o melhor mesmo é procurar a delegacia de Polícia mais próxima e comunicar o fato. Essa comunicação, como bem referiu ontem a Delegada da Polícia Federal Juliana Cavaleiro durante o chat realizado no site InternetSegura.br no dia 09/02/10, deve ser realizada diretamente nos órgãos policiais quando o fato está prestes a ocorrer ou está ocorrendo, visando facilitar a atuação das polícias, seja Federal ou Estadual.

Não esqueça: quando se tratar de atribuição da Polícia Civil, sugiro a leitura do post sobre os órgãos especializados no combate aos crimes virtuais. No Rio Grande do Sul existe, assim como em vários Estados, a opção de efetuar a denúncia através do telefone 181 (gratuito) e do e-mail disque-denuncia@ssp.rs.gov.br.

terça-feira, 9 de fevereiro de 2010

Dia da Internet Segura – 09-02-2010 - “Pense Antes de Postar!”

Estava lendo, no final de janeiro, sobre o Dia da Internet Segura – Safer Internet Day - na Europa, ou melhor, “Dia Europeu de Proteção de Dados”, ocorrido em 28/01. Até percebi a carência de mais enfatização em um ou vários dias de internet segura no Brasil, já que estamos entre os principais locais de origem de ataques cibernéticos.
Porém, é interessante ver que, desde 2009, o Brasil também tem demonstrado o esforço necessário para participar de um dia especial, com várias programações, destinado a buscar maior proteção aos dados e às pessoas na internet. De acordo com o site http://www.diadainternetsegura.org.br/site/sid2010/o-que-e, a programação começa justamente hoje: 09/02/2010. Outra fonte de informações importantes é o site http://www.internetsegura.br/.
Veja o vídeo de divulgação:
Conforme divulgado pelo site referido, o "Dia da Internet Segura (“Safer Internet Day”) é uma iniciativa que mobiliza países de todo o mundo para promover o uso seguro da Internet. Esta idéia foi organizada pela Rede INSAFE, rede que agrupa as organizações que trabalham na promoção do uso consciente da Internet nos países da União Européia. Em 2010 o tema central será: "Pense Antes de Postar", conforme o vídeo acima.
A agenda do "Safer Internet Day" é bastante ativa, sendo que algumas coisas já ocorreram, inclusive no Campus Party Br. Quem quiser ver mais é só acessar a Agenda aqui.
Algumas outras seções estão no site, como: Desenhos (inclusive há possibilidade de envio de desenhos pelo e-mail sidbr@safernet.org.br), Links (com várias dicas de segurança) e Divulgação, conforme eu adotei abaixo e estou aderindo à campanha (veja barra lateral do blog).
Dia da Internet Segura - 2010
Você quer ver o que aconteceu em 2009? Veja aqui!
Sugiro os vídeos da série Que exploração é essa? do Canal Futura, disponibilizados no Youtube: http://www.youtube.com/user/canalfutura.
Abraço a todos e bom "Dia de Internet Segura"!!

segunda-feira, 8 de fevereiro de 2010

Vulnerabilidades nos sistemas Macintosh + Dicas

A empresa chamado Intego, que comercializa o software chamado VirusBarrier, Antivírus Barrier um dos melhores software antivírus disponíveis para a plataforma Mac OS X (linha Mac e iPhone), disponibilizou no seu relatório anual de segurança quais são as principais ameaças a que os dispositivos da famosa “marca da maçã’ estiveram sujeitos durante 2009.

Costumamos ter a plataforma Mac como pouco visada pelos atacantes, mas a verdade é um pouco diferente, pos que esses mesmos ataques referenciados no relatório mostram uma tendência de crescimento. Aliás, os sistemas operacionais Mac estão em segundo lugar em utilização no mundo.
image

Em princípio, estes ataques parecem visar apenas os software de terceiros, em que existe uma implantação mais alargada do mesmo, mas a verdadeira exposição poderá acontecer (se nada for feito) quando os ataques acontecerem ao nível do próprio sistema operativo, tal qual ocorre com o Windows.

O interessante é que podemos tirar algumas conclusões da leitura do relatório, não necessariamente na ordem de importância, mas todas relevantes:

- As principais ameaças são resultado da instalação de softwares pirateados (iWork’09 e Adobe CS4), ou resultam de fazer Jailbreak ao iPhone (leia mais sobre o que é “Jailbreak” aqui) e instalar o OpenSSH;

- Assim como em outros SOs, grande parte destas ameaças necessitam de uma colaboração total por parte dos utilizadores dos dispositivos Mac;

- image As ameaças continuam ainda sendo muito limitadas, embora se note uma tendência para que as mesmas cresçam, o que se torna preocupando em termos de segurança;

- O bom é que começam já a existir softwares de segurança de qualidade (veja lista mais completa abaixo), os quais podem ajudar a detectar e corrigir estes mesmos problemas.

Além do antivírus Barrier, que pode ser baixado aqui, existem várias outras opções no mercado, inclusive de código aberto. Veja a lista sugerida:

- iAntiVirus (único freeware!);
- ClamXav (código aberto - GPL);
- avast! Mac Edition (trial);
- Kaspersky (trial);
- Sophos Anti-Virus (trial);
- Nod32 Antivirus for Mac OS X (4.0 Beta);
- McAfee VirusScan (versão demo);

Segundo uma reportagem de 2008, da INFO, já havia a recomendação da Apple para que os usuários agregassem a segurança de um software antivírus, indicando o Barrier, o Norton ou o McAfee.




Fica, então, a dica para quem usa os sistemas operativos da Macintosh para que tomem mais cuidado, sabendo que, por exemplo, desbloquear o aparelho iPhone pode ser bom, porém perigoso para sua segurança virtual.

Fonte de auxílio para elaboração deste post: Owasp Portugal.

sexta-feira, 5 de fevereiro de 2010

Fornecimento de informações no combate ao cibercrime – investigação em redes corportativas

Uma situação interessante ocorre durante uma investigação policial, quando nos deparamos - através de respostas dos provedores de serviços de internet (PSI) ou de conteúdo (PSC) - que o endereço IP do computador usado para  cometimento do delito está alocado para uma empresa, universidade ou outro órgão que possui uma rede de computadores administrada internamente.

São diversas as ocasiões em que contatamos, com a devida ordem judicial, o suposto administrador da rede responsável e fomos informados que não  haveria como repassar a informação correta de qual computador e/ou usuário partiu o acesso criminoso. Às vezes sequer a empresa tem um administrador de rede, - terceirizando os serviços - o que torna o trabalho, resguardado pelo sigilo, ainda mais difícil.

Embora possa a empresa - leia-se "setor jurídico" - pensar que em alguns casos não há obrigatoriedade de fornecimento destes dados às autoridades, esse atendimento às determinações judiciais é necessário. O exemplo das diversas regulamentações nos EUA - como a da indústria de cartão de crédito (PCI - Payment Card Industry), a de empresas com ações na bolsa americana (SOX - Sarbanes Oxley), dentre outras - forçaram empresas brasileiras a se preparar adequadamente para este tipo de solicitação, também atendendo aos ditames da CF/88 e leis esparsas, principalmente a Lei 9.296/96, que trata dentre outros assuntos dos dados telemáticos. Nesta situação, a responsabilidade de prestar informações passa a ser dos executivos das empresas, que investem pesadamente para se adequar a esta nova realidade - que acaba refletindo em melhorias de segurança nos departamentos de T.I.

Uma abordagem simples e comumente adotada é a implementação de servidores centralizados para armazenagem de registros importantes (ou logs). Em muitas empresas com uma maior maturidade de segurança este sistema evolui naturalmente para soluções mais avançadas de correlação de eventos de segurança (SIEM/SEM) ou similares.

Uma preocupação e pré-requisito básico  para a correta utilização de tais tecnologias é a utilização um servidor central de tempo (NTP) corporativo, que possibilita que todas os computadores e sistemas da empresa estejam sincronizados no horário oficial de Brasília - evitando assim enganos na atribuição de responsabilidade de delitos quando estes registros são fornecidos à polícia e/ou à justiça para serem utilizados durante uma investigação. Por existirem várias configurações no formato de resguardo de logs, o importante é que quando esses dados sejam repassados às autoridades haja um tutorial específico de leitura e/ou que eles venham adaptados para fácil leitura.

Nestas empresas mais maduras - seja por necessidade de adequação à regulamentações específicas, seja por maturidade da disciplina "segurança da informação" - existem mais recursos humanos e de tecnologias disponíveis e normalmente é muito fácil conseguir os registros de acesso e identificar a máquina utilizada. Munidos destas informações, dos logs de acesso e de conteúdo e/ou, ainda, das imagens do sistema fechado de circuito de TV, em inúmeros casos é possível encontrar o autor do delito.

Porém, pelas próprias características de conectividade da Internet, há um grande impacto negativo no processo investigativo quando não existem quaisquer dados ou informações disponíveis a respeito do uso de computadores em uma rede corporativa. Muitas vezes este problema acaba levando ao fechamento de investigações importantes - e em outros casos pode ser necessário reiniciá-la, utilizando outras técnicas (até porque o “ser humano é um animal de hábitos” e, espera-se, deve cometer algum erro na sua sequência criminosa).

Dito isto, é fundamental que tanto os administradores de sistemas quanto os advogados responsáveis pelo setor jurídico da empresa, agindo de acordo com uma política de uso aceitável adequada, resguardem corretamente os registros (logs) necessários ao correto repasse de informações solicitadas pelas autoridades. Agindo assim estará garantido o resguardo da empresa, pois pode ocorrer de ser ela acionada civilmente para a recomposição de danos, quando, então, poderá chamar ao processo o “colaborador criminoso”, eximindo-se da reparação civil.

Exemplos de registros importantes a se resguardar em uma rede corporativa:

- Registros de conexões VPN - que podem atribuir o IP externo responsável pelo acesso feito através da rede corporativa.

- Registros de servidores de Proxy - que podem indicar o usuário, endereço interno e computador responsável por acesso a sites externos à empresa.

- Registros de atribuição de endereços IP dinâmicos (DHCP) - que podem indicar o hostname que possuia um IP interno em uma data e hora específicas.

- Registros de utilização de sistemas de mensagens que possam ser utilizados para cometimento de delitos. Exemplos: Fórum, Wiki, Listserv.

- Outros possíveis exemplos são os logs de WINS (resolução Windows), NAT (tradução de endereços), FIREWALL (filtro de pacotes) e Active Directory.

Para empresas que lidam com registros que são base usual de solicitações judiciais, como grandes provedores de acesso e conteúdo - e também instituições financeiras – existem soluções corporativas como a Centera-Compliace-Plus, da EMC, que utiliza discos com a tecnologia WORM (Write Once Read Many) para garantir a integridade das informações guardadas e para facilitar a cadeia de custódia dos dados que são fornecidos à Justiça/Polícia.

Do ponto de vista normativo e regulatório, serve como modelo de referência o projeto de lei de cibercrimes que tramita (há dez anos!) no Congresso Nacional - que em seu estágio atual, propõe:

Art. 22. O responsável pelo provimento de acesso a rede de computadores mundial, comercial ou do setor público é obrigado a:

I – manter em ambiente controlado e de segurança, pelo prazo de três anos, com o objetivo de provimento de investigação pública formalizada, os dados de endereçamento eletrônico da origem, hora, data e a referência GMT da conexão efetuada por meio de rede de computadores e fornecê-los exclusivamente à autoridade investigatória mediante prévia requisição judicial;

II – preservar imediatamente, após requisição judicial, outras informações requisitadas em curso de investigação, respondendo civil e penalmente pela sua absoluta confidencialidade e inviolabilidade;

III – informar, de maneira sigilosa, à autoridade competente, denúncia que tenha recebido e que contenha indícios da prática de crime sujeito a acionamento penal público incondicionado, cuja perpetração haja ocorrido no âmbito da rede de computadores sob sua responsabilidade.

§ 1º Os dados de que cuida o inciso I deste artigo, as condições de segurança de sua guarda, a auditoria à qual serão submetidos e a autoridade competente responsável pela auditoria, serão definidos nos termos de regulamento.

§ 2º O responsável citado no caput deste artigo, independentemente do ressarcimento por perdas e danos ao lesado, estará sujeito ao pagamento de multa variável de R$ 2.000,00 (dois mil reais) a R$ 100.000,00 (cem mil reais) a cada requisição, aplicada em dobro em caso de reincidência, que será imposta pela autoridade judicial desatendida, considerando-se a natureza, a gravidade e o prejuízo resultante da infração, assegurada a oportunidade de ampla defesa e contraditório.

§ 3º Os recursos financeiros resultantes do recolhimento das multas estabelecidas neste artigo serão destinados ao Fundo Nacional de Segurança Pública, de que trata a Lei nº 10.201, de 14

Autores:

Emerson Wendt, Delegado de Polícia Civil do Rio Grande do Sul e responsável pelo Blog do Emerson Wendt

Sandro Süffert, Consultor em Segurança e Forense Computacional e responsável pelo Blog SSegurança

quarta-feira, 3 de fevereiro de 2010

Segurança nas redes sociais (Parte I)

Há tempos vinha pensando em escrever algo sobre o que está na moda nas mídias sociais e os problemas de segurança relacionados, enfocando o questionamento sobre as redes sociais e a manutenção, de forma segura ou não, ou exclusão das contas. É isso que esta série se propõe. Então, vamos lá!
As redes sociais criadas virtualmente foram/são fundamentais para a troca de informações, contatos e encontro de pessoas. Isso é inegável, pois quem já não encontrou antigos amigos e colegas no Orkut?! Porém, junto com elas vem o afetamento da privacidade e coisas que eram restritas/privadas acabam tornando-se públicas: é o efeito normal de “abrir” determinados comportamentos e informações na web.
Tem uma abordagem interessante sobre isso no Blog Coisas e Boas, aqui, e também uma pesquisa com inúmeros dados sobre os hábitos dos brasileiros perante as mídias sociais. Veja:





Redes Sociais Aliás, as redes sociais afetam os relacionamentos de uma forma bastante geral, principalmente no trabalho. Assim, tanto podem ser usadas para o “bem” quanto para o “mal”. Segundo divulgado, no Empreendendorismo e Inovação, em 2009 no Estado de São Paulo os órgãos públicos liberaram, por Decreto do Governo do Estado, os acessos às redes sociais, tais como o Orkut, Twitter, Facebook etc, justamente tentando abranger e atender parte da população acostumada a usá-las.
Aí vemos um uso útil e público das redes sociais. Mas e quando elas se tornam perigosas ou desnecessárias? Vejam uma notícia, de 2009, sobre as redes sociais serem o principal alvo dos hackers naquele ano.
Pessoalmente, durante estes dois últimos anos, à frente do Curso de Crimes Praticados pela Internet no Rio Grande do Sul, vi/ouvi inúmeras situações citadas pelos alunos. Dentre elas, as imensa quantidade de informações que eles postavam no Orkut, inclusive com telefones celulares de contato, endereços residencial e comercial etc., e, depois das aulas iniciais, explicando-lhes os problemas e riscos, vários ou acabavam restringindo as informações ou deletando a conta, fazendo, então, o chamado “suicídio virtual”. Aliás, acrescento um dado apenas: muitos deles sequer haviam feito uma pequena pesquisa pelo nome (entre aspas) no Google e se surprendiam com as informações que achavam sobre si. A propósito, você ja fez isso?
Colocando isso e em face de sempre haver a pergunta “como faço para deletar a minha conta do twitter, do orkut, do facebook?”, pretendo, neste e nos próximos posts tratar disto, motivo pelo qual estarão numerados e referenciados. Vou procurar fazer isso do específico para o geral, pois existem ferramentas que ajudam a se livrar dessas redes sociais sem ir para o site específico.
Hoje vou referenciar como cometer o chamado “orkuticídio”, que você poderá fazer sem que isso afete os outros serviços agregados do Google (ah … você não sabe quais os serviços que usa do Google então veja no Dashboard, faça o login e verifique tudo o que a empresa citada sabe sobre você!).
Para deletar o orkut você pode ir para este link, acessar sua conta e encaminhar a exclusão da sua conta, conforme imagem abaixo.
Orkut - Delete
Como você pode ver na imagem, há a orientação para clicar no link chamado “Excluir minha conta”, bem como, após feito o procedimento, não acessar novamente a conta, que estará em processo de exclusão, pois essa ação “poderá restaurar a conta”.
Mas se você não quiser deletar a conta, porém torná-la mais segura e comOrkut - Settings menos exposição das informações, a sugestão é que vá em “configurações” e depois em “privacidade” (veja imagem ao lado) e restringir todas as permissões que lhe convierem, principalmente o que as pessoas podem visualizar em termos de fotos, vídeos, recados etc. Caso você queira ver outras orientações veja o que escrevi sobre o assunto no ano passado e leia aqui sobre as recomendações do que podes publicar ou não no seu perfil do Orkut (são apenas sugestões!). Também, o Guia do PC elaborou um tutorial sobre como proteger suas imagens nas redes sociais. Veja aqui.
Bom, você foi vítima de um perfil falso ou subtraíram sua conta do Orkut, você também pode ler sobre como proceder clicando aqui.
Bom, por hoje é só. Se fosse dar uma opinião, sugiro que sigam o caminho do meio, ou seja, restrinjam as informações e testem o uso assim. Caso mesmo assim não se adaptem, sugiro que sigam para o “suicídio virtual”. No próximo post da série falarei das configurações e exclusão da conta do Twitter.
Texto publicado, originalmente, no site O Melhor do Marketing.

segunda-feira, 1 de fevereiro de 2010

Guerra cibernética: um apanhado sobre o tema

Resolvi fazer um apanhado com umcyber_guerra histórico recente sobre a guerra cibernética no mundo. Vou postar os links para que todos possam ler um pouco a respeito, mas é interessante ver como Portugal é um país onde o tema foi e é tratado mais a sério, estando bem a frente do nosso Brasil.
Começo, para que todos tenham um entendimento do assunto, pelo “o que é a Ciberguerra”, um post do ano passado, e pela idéia da ONU em estabelecer um tratado a respeito, quão importante está sendo considerado o assunto no momento:
- Blog do Emerson: Entenda o que é a Ciberguerra;
- R7 Tecnologia: ONU pede tratado para evitar uma “guerra na internet”;
- INFO Online: General quer exército na guerra cibernética;
- Yahoo!: França lança novo satélite de espionagem;
- Último segundo: Militantes interceptam vídeos de aviões de espionagem dos EUA;
- Resenha CConsex: EUA e Rússia tentam ampliar segurança na web;
- BBC Brasil: Guerra cibernética deixou de ser ficção, diz empresa de segurança;
- Notimpol (FAB): Brecha ameaça armas informatizadas;
- Terra Tecnologia: Militares dizem que Ciberespaço é ameaça iminente nos EUA;
- Hangar do Vinna, com base na Revista Época: Como a CIA garantiu à Raytheon vitória sobre a Thomson na venda de radares para o Sivam;
- Pravda: Israel pode recorrer à Guerra Cibernética;
- Segurança Digital: Cyberwar;
- Crabbyolbastard: EUA falha em teste de cyberataque (Update em 18/02/10);
- G1 Tecnologia: EUA buscam 10 mil jovens para reforçar cibersegurança do país (Update em 18/02/10);
- PC World (Uol): Estados Unidos destinam 1/2 bilhão de dólares para a cibersegurança. (Update em 05/02/10).
Para quem se interessa no assunto e clicou nos links acima, pode ter realmente uma idéia do que se trata e do que ocorre (está ocorrendo!) na guerra cibernética. Mas, reputo essencial e interessante a leitura dos posts do Delegado Mariano – Cyber Crimes (José Mariano de Araújo Filho):
Também, não poderia deixar de citar os artigos do Sandro Süffer, conforme seguem:
Bom … essas todas são as dicas de leitura sobre o assunto guerra cibernética, ciberguerra e/ou ciberterrorismo. Optei por elencar várias publicações colacionadas porque é importante que todos possam ler sobre o tema e formar sua própria opinião/convicção. Talvez, até cobrar dos políticos uma ação legislativa no Brasil para que estejamos preparados e não só uma ação executiva, como a noticiada em maio de 2009.
Aliás, será que já não estamos no meio de um guerra cibernética? O quanto o Brasil está preparado para enfrentar tais problemas? Segundo uma pesquisa publicada pelo Centro de Estudos Estratégicos Internacionais em parceira com a empresa McAfee, o Brasil é um dos países mais vulneráveis, dentre os 14 pesquisados. Dentre os brasileiros entrevistados para a pesquisa, 65% referem quanto ao aspecto de falta de leis específicas e 60% acreditam que o Brasil sofrerá, sim, um ataque cibernético nos próximos dois anos, estando com proteção em apenas 40%, ou seja, muito longe do ideal de 100%. Veja matéria a respeito clicando aqui.

Bom, por hoje é só. Comentem, sugiram, critiquem.