Não só profissionais de TI e grandes corporações são alvos de ataques pela Internet. Qualquer usuário que tenha uma simples conexão caseira com a grande rede e não tome as devidas precauções está passível de ter seu computador comprometido.

Com o avanço do comércio eletrônico, atacantes buscam sistemas vulneráveis onde possam coletar senhas de banco, números de cartão de crédito e outros dados sigilosos. Além disso, uma vez que a máquina foi invadida, o atacante pode assumir total controle sobre o sistema e usá-lo como ponte para atividades ilícitas como ataques automatizados ou até repositório para todo e qualquer tipo de arquivo e senhas roubadas.

O Blog SegInfo disponibilizou uma cartilha simplificada voltada especialmente para usuários não-técnicos. Nela, são apresentados breves lembretes com sugestões de softwares, dicas e boas práticas recomendadas para garantir a segurança de seus sistemas.

Passo 1 – Firewall

• Após a instalação do seu sistema operacional[1] escolhido, instale um firewall[2]. Conectar um sistema operacional não atualizado na internet (ou até intranet) não é recomendado, devido às possíveis vulnerabilidades de um sistema desatualizado.

Passo 2 – Mantenha seu sistema Atualizado

• Novas ameaças e vulnerabilidades são descobertas todos os dias, para proteger-se delas mantenha seu sistema operacional e seus aplicativos sempre atualizados.

• Procure por atualizações automáticas diretamente no programa ou sistema operacional, ou baixe as atualizações regularmente a partir do fornecedor oficial. Dê sempre preferência para o site oficial do fornecedor, ou para mirrors[4] credenciados pelo mesmo.

• Assine e acompanhe maillists e sites onde são divulgadas falhas e vulnerabilidades. O Blog SegInfo (http://www.seginfo.com.br) é uma boa opção.

Passo 3 – Cuidados com suas senhas

• Não divulgue e nem compartilhe – a senha é sua e de mais ninguém.

• Não escreva em local público ou de fácil acesso.

• Nunca use palavras de dicionários ou dados pessoais como senha.

• Crie senhas com mais de oito caracteres e que misture letras maiúsculas, minúsculas, números e caracteres especiais.

• Mude de senha regularmente, principalmente se utilizar máquinas administradas por pessoas que não sejam de sua confiança, inclusive se você não confiar em si mesmo no que tange a manutenção da segurança da informação de seu computador.

• Utilize um gerenciador de senhas, tal como o KeePass.

Passo 4 – Antivirus[5] e antispyware[6]

• Configure seu antivírus para procurar por atualizações sempre que seu computador estiver conectado à Internet.

• Faça pelo menos uma varredura completa no sistema por semana.

• Use seu antivírus em todo arquivo baixado antes de executá-lo, assim como em toda mídia removível conectada. Se possível, configure essas verificações para que sejam feitas automaticamente, assim como demais verificações passíveis de execução pelo software.

Passo 5 – Navegando na internet

• Utilize no navegador o bloqueador nativo de scripts ou use complementos que realizem tal atividade. Só autorize a execução de scripts de sites de sua confiança.

• Permita somente a execução de programas Java[7] e de ActiveX[8] de sua confiança.

• É recomendável uma limpeza esporádica dos cookies[9] do seu navegador.

• Ao acessar contas bancárias ou demais sites onde ocorra a troca de informações e dados sensíveis, lembre-se sempre de verificar a existência de conexão segura e de analisar o certificado digital (procure pelo cadeado no navegador e um informativo de certificado digital). Lembre-se sempre também de digitar o endereço destino, e nunca usar os links enviados por terceiros, tais como oriundos de e-mail, mensageiros instantâneos, etc.

• Em qualquer interação pela internet, seja por mídias sociais, mensageiros instantâneos, chats e canais de IRC, usem sempre o seu bom senso para determinar quais informações serão passadas por esses canais, assim como para tratar as informações recebidas. Além disso é recomendável se comunicar apenas com pessoas conhecidas.

• Os ataques mais populares dos últimos meses contra clientes e usuários foram dirigidos contra os navegadores e os Adobe Reader e Acrobat. Os usuários devem desabilitar a capacidade destes aplicativos rodarem JavaScript ou outros aplicativos que não sejam o texto .pdf ou o texto em html.

Passo 6 – Use sempre criptografia

• Mantenha o hábito de manter seus arquivos, principalmente quando armazenados em notebooks e mídia móveis (pendrive, DVD, etc), criptografados. Para facilitar esse processo existem programas que além de encriptar cada arquivo individualmente, também criam volumes ou containers encriptados, para um grande número de dados e/ou arquivos.

• Usem programas de encriptação, tal como o TrueCrypt.
  

Passo 7 – Correio eletrônico

• Passe sempre o antivírus em programas vindos por email, mesmo de fontes confiáveis.

• Verifique a procedência de emails com anexos duvidosos (de bancos, lojas ou provedores de serviços) observando o cabeçalho completo da mensagem. Caso utilize cliente de e-mail, configure seu cliente de email para não executar automaticamente programas ou scripts.

• Mesmo que tenha utilizado o antivírus, evite abrir arquivos enviados por fontes não confiáveis. Verifique se o remente é mesmo quem ele diz.

• Desconfie muito de arquivos executáveis recebidos (.exe, .bat, .zip), mesmo vindo de fontes confiáveis.

• Verifique a veracidade das informações e use sempre seu bom senso antes de repassar . O bom senso nessas horas será sua principal ferramenta.

• Desligar as opções de execução de JavaScript e de programas Java.

• Cuidado ao visualizar imagens armazenadas externamente aos e-mails. Com esse ato o remetente do e-mail tem a possibilidade de descobrir sua localização na internet (endereço IP[10]), além de outras informações sobre sua máquina, tais como sistema operacional, versões do mesmo, etc.

Passo 8 – Baixando Programas

• Baixe programas apenas do fornecedor oficial, ou para sites ou mirrors referenciados pelo mesmo.

• Se o programa for desconhecido por você, informe-se sobre o mesmo em páginas de busca e sites especializados antes de baixar ou executar qualquer programa. Pergunte também para amigos e familiares.

• Sempre passe seu antivírus atualizado em arquivos antes de executá-los pela primeira vez ou instalá-los, independente da origem ou indicação.

Passo 9 – Proteja seus dados pessoais

• Evite fazer cadastros pela Internet, especialmente fornecendo seus dados pessoais, a não ser que seja estritamente necessário.

• Nunca forneça informações sensíveis em sites sem que você tenha solicitado o serviço que o exige, e o faça somente se confiar no site e se o mesmo estiver utilizando criptografia (procure pelo cadeado no navegador e um informativo de certificado digital).

• Cuidado aos disponibilizar informações muito pessoais em sites de relacionamento (telefones móveis, endereços residenciais, etc).

Passo 10 – Faça backups

• Agende regularmente cópias de reserva (backup) de todos os seus dados importantes.

• Pense nas coisas que realmente lhe fariam falta caso perdesse tudo e cuide para que isso não aconteça.

• Discos rígidos, pendrives e CDs também dão defeito! Tenha sempre cópias redundantes e jamais confie em apenas uma mídia para armazenar seus dados mais importantes.

Passo 11 – Segurança Física

• Tenha um filtro de linha com suporte a queda de energia (no-break). Se não for possível, use ao menos um filtro de linha.

• Mantenha seu computador e cabos protegidos contra quedas e esbarrões.

• Mantenha seu computador e suas mídias (como pendrives, CDs e DVDs) em local seco, arejado e não muito quente nem muito frio, e sempre protegidos de fontes eletromagnéticas fortes.

Passo 12 – O mais importante

• Use sempre seu bom senso.

Glossário

[1] Sistema Operacional: Programa que gerencia as funções básicas de um computador, armazenamento e recuperação de informações. Ex. Windows, da Microsoft, Macinstosh da Apple e Linux.

[2] Firewall pessoal: Software ou programa utilizado para proteger um computador contra acessos não autorizados vindos da Internet. É um tipo específico de firewall, dispositivo constituído pela combinação de software e hardware, utilizado para dividir e controlar o acesso entre redes de computadores

[3] Vulnerabilidade: Falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.

[4] Mirrors: Mirrors, em terminologia computacional, são sites espelhados, isto é, um servidor que contém um conjunto de arquivos que é uma duplicata do conjunto de arquivos existentes em outro servidor. Os “sites-espelho” existem para dividir a carga de distribuição entre os sites.

[5] Anti-virus: Sofware desenvolvido para detectar, anular e eliminar de um computador vírus e outros tipos de código malicioso.

[6] Anti-spyware: Software desenvolvido para combater spyware, adware, keyloggers entre outros programas espiões.

[7] Java: Linguagem de programação desenvolvida pela Sun Microsystems.

[8] Active-X: Linguagem de programação criada pela Microsoft que permite a inclusão de itens multimídia em páginas Web.

[9] Cookies: Um conjunto de informações que um site escreve no disco rígido do computador do cliente, que tem várias funções, tais como: armazenar as preferências do usuário para certos tipos de informação ou registrar informações relativa à sua visita no site.

[10] Endereço IP: Este endereço é um número único para cada computador conectado à Internet, composto por uma seqüência de 4 números que variam de 0 até 255, separados por um ponto. Por exemplo: 192.168.34.25.

“Não errei porque não acessei o sigilo de ninguém. Mas reconheço que, como servidora, deveria ter sido mais cuidadosa. Às vezes eu ia ao banco e deixava o meu terminal aberto. Outros dias eu chegava para trabalhar e a máquina já estava ligada. Todo mundo sabia que eu deixava minha senha anotada numa caderneta sobre a minha mesa. A senha do meu terminal era socializada, na verdade, era usada por todo mundo que quisesse, mas eu nunca pensei que fossem usar com má-fé”, afirmou.

A Corregedoria da Receita Federal enviou na manhã de ontem duas representações ao Ministério Público a respeito do caso de vazamento de dados fiscais sigilosos, entre eles de EJ e de mais três pessoas ligadas ao PSDB.

Na semana passada, o corregedor-geral da Receita, Antônio Carlos Costa D’Ávila, havia afirmado que as apurações encontraram indícios da existência de um “balcão de venda de dados fiscais sigilosos” mediante propina. Na ocasião, contudo, ele informou que não foi possível encontrar vínculos políticos e partidários nos vazamentos.

As representações apresentadas pela corregedoria da Receita são referentes aos processos administrativos abertos contra a analista tributária Antônia Aparecida Rodrigues dos Santos Neves Silva e Adeildda.

Segundo a servidora, houve aumento de pedidos de acesso a dados sigilosos. “Outros funcionários, além da Antônia, também pediam: o Júlio [Bertoldo], a própria Ana Maria [Cano]… O máximo que já fiz de uma vez, pelo me me lembro assim, foram uns 20. Mas eu nunca olhava nomes, porque era subordinada. Não conheço esse Eduardo Jorge.”

Adeildda disse ainda nunca ter ouvido nada sobre a suposta venda de dados sigilosos.

via Folha.com

Eu estava tentando que o Banco pagasse para mim, depois de 2 semanas de burocracia, em uma simples reunião, consegui com um Gerente Geral uma inscrição promocional direto da Febraban. Maravilha!!!

Já conferi a agenda, me atualizei e to mais ansioso que menino em porta de circo.
Como é a minha primeira vez no evento, eu to assim… Espero que seja perfeito.

www.iccyber.org

Abraços

Frequentemente aparecem na mídia catadores de materiais recicláveis que encontram documentos, como o caso do catador Baixinho, que tem uma coleção de documentos descartados, como RGs, CPFs e até uma folha de cheque preenchida.

Felizmente, a grande maioria dos catadores são pessoas de bem e honestas. Entretanto, é preciso tomar cuidado com quem fuça o seu lixo. A técnica de trashing consiste basicamente em verificar o lixo físico de alguma localidade – o descartes de papeis de uma empresa, por exemplo – visando a busca de informações que possam facilitar ataques por agentes maliciosos. A ideia de um cracker fuçando o seu lixo pode parecer fantasiosa para a maioria das pessoas, mas gestores de segurança corporativos tem de tomar medidas para evitar este tipo de problema.

Mesmo pessoas físicas podem tomar cuidados simples, como rasgar em vários pedaços folhas de papel e principalmente cartões plásticos de documentos; idealmente pode-se utilizar uma fragmentadora de papel, mas uma simples tesoura pode resolver o problema.

via BlogSegInfo

Mesmo com a existência de serviços similares, como o PagSeguro (do UOL) e o Pagamento Digital (do Buscapé), mais de dois milhões de brasileiros integram a base de clientes que usam o serviço norte-americano para comprar produtos importados, movimentando mais de R$ 220 milhões no ano passado.

O foco do Paypal é ser um intermediário nessa hora, evitando que alguém seja lesado. Ele também atua na transferência de valores entre empresas ou prestadores de serviço que realizam negócios no mundo real dentro de um país ou entre países.
“Queremos mudar a forma do brasileiro pagar na internet”, diz Mario Mello, presidente da empresa no País (foto). No mundo, já mudou – 18% dos norte-americanos dizem estar na internet apenas por causa da ferramenta, que simplifica o enfadonho processo de comprar online e não pede nem que você digite o número do seu cartão de crédito.

Funcionando como um intermediário entre os bancos e as lojas e apostando no usuário comum, o PayPal hoje é responsável por 15% das vendas eletrônicas mundiais.

Comprado pelo eBay em 2002 por US$ 1,5 bilhão, o site conseguiu se expandir por todo o mundo apostando em segurança e rapidez, e é isso que espera agora fazer no Brasil.

“Nós viabilizamos que pequenos comércios façam negócios online. Lá fora, é comum que as pessoas comprem de sites menores, nos quais talvez nem confiariam, se o pagamento for via PayPal. Temos um estudo que mostra que o faturamento das lojas aumenta de 12% a 16%”, explica Mello, que já trabalhou nos bancos ABN Real e Safra e agora partiu para a web.

Com a instalação no país, qualquer consumidor poderá utilizar o sistema de pagamento e transferências, tanto no país quanto no exterior. Um tradutor, por exemplo, poderá oferecer seus serviços em 190 países e receberá via PayPal sacando os valores (convertidos para real) em sua agência bancária.

Para usar o Paypal, é presciso cadastrar seu e-mail pelo site www.paypal.com.br. Ali, o internauta vai informar dados financeiros, como o número de cartão de crédito e o da conta-corrente.

Essas informações ficam vinculadas ao e-mail cadastrado. Na hora de efetuar ou receber um pagamento, basta informá-lo e os créditos (ou débitos) são transferidos. Nas compras, o lançamento é feito direto no cartão de crédito. Nas transferências, ocorre pela conta-corrente. As taxas cobradas podem chegar a 4,9% do valor negociado.

via CorreioBraziliense

“Processo mesmo, e daí?”

Uma das patentes, por exemplo, se refere à exibição de sugestões em site baseado no que o visitante já está vendo, enquanto outra se refere à exibição de artigos relacionados enquanto se lê alguma notícia. (todo nós fazemos isso em algum momento kkk)

As patentes parecem ser um tanto quanto abrangentes demais, e isso não sou apenas eu que acho.

“Nós acreditamos que esse processo é completamente infundado e vamos combatê-lo vigorosamente,” se pronunciou um porta-voz do Facebook.

“Esse processo contra algumas das companhias mais inovadoras dos EUA reflete uma tendência infeliz das pessoas tentarem competir nos tribunais ao invés de [competir] no mercado,” disse um porta-voz do Google.

Paul Allen é um dos homens mais ricos do mundo, e um dos que concordou em doar mais da metade de fortuna (estimada em US$ 13,5 bilhões) para a caridade, em uma iniciativa liderada por Bill Gates.

Com informações: The Wall Street Journal e TecnoBlog

Os músicos de rua estão acostumados a receber seu pagamento em moedinhas, mas isso pode estar começando a mudar. Em Londres, pelo menos, já está acontecendo. O estudante Peter Buffery, da Kingston University, estreou nesta quinta-feira (26/08) nas ruas londrinas com uma proposta inusitada: só aceita pagamento por sua música em cartão de crédito. Nada de moedas e notas.

Para possibilitar o pagamento virtual, o músico adaptou seu violão à tecnologia desenvolvida pelo banco Barclays que permite aos transeuntes que simplesmente passem o cartão do banco em frente ao violão de Peter para que façam uma doação de cerca de R$ 14 (cinco libras).

Numa ação em parceria com o banco, o músico irá doar o dinheiro arrecadado para a associação de caridade ‘Help a London Child.

Há 2 anos, o vazamento de dados ocorreu quando um único dispositivo USB – supostamente um pendrive – contendo código malicioso foi inserido num laptop numa base americana no Oriente Médio. O malware, plantado no dispositivo por uma agência de inteligência externa, foi transferido para a rede do exército, e se disseminou silenciosamente. Foi o estopim para a decisão tomada pelo Pentágono, ainda em 2008, de banir de operação todos os dispositivos USB removíveis.

Fonte: Infected USB drive blamed for ’08 military cyber breach – Computerworld

via BlogSegInfo

Fonte: Black Hat Webcast: Pen Testing the Web with Firefox

via BlogSegInfo

Dos 5 países menos infectados, constam países de pouca expressão na internet como Serra Leão e Nigéria, com a notável exceção do Japão, em terceiro lugar com apenas 1 em cada 403 computadores infectados. No extremo oposto, os 5 países mais infectados são Bangladesh, Azerbaijão, Armênia, Rússia e Turquia, que figura em primeiro lugar com 1 a cada 10 computados infectados.

Observando dados continentais, a América do Sul é o continente com menos infecções, constando com 1 a cada 164 computadores infectados, em contraste com o primeiro lugar da América do Norte que tem 1 a cada 51. O Brasil ocupa a 98º do ranking mundial com 1 a cada 155 computadores infectados.

Fonte e foto: AVG Blogs | Roger Thompson.

via blogSegInfo

A ideia é da Linux Foundation, organização que tem como função promover e proteger o Linux, principalmente em ambientes corporativos. Pagando essa ajuda de custo de US$ 100, você tem direito a usar o endereço de email linux.com e ganha uma camiseta (com tamanhos que vão de médio a… blogueiro).

São várias vantagens, como descontos na compra de equipamentos HP, Dell e Lenovo (mas só para compras lá fora, até onde pude constatar), descontos em eventos e treinamentos, além de ter direito de voto nas decisões da fundação.

Infelizmente, muitas das vantagens não estão disponíveis no Brasil, mas se você está disposto a pagar para ter um email do seu sistema predileto, é só acessar a página de inscrição.

via technoblog

A Network Solutions informou que a conta de 5 milhões de sites é exagerada, mas não divulgou um número. Huang disse que os pesquisadores de sua empresa inicialmente rastrearam a origem das infecções como sendo um widget instalado pela Network Solutions em seu site GrowSmartBusiness.com, mas depois descobriram que o mesmo widget estava disponível, por padrão, em todos os domínios “estacionados” nos servidores da empresa.

Esses domínios são aqueles registrados, mas sem conteúdo. Os criadores de malware e scammers (golpístas) usaram esses sites “em construção” para espalhar código malicioso ou turbinar artificialmente rankings em mecanismos de busca para fazer os internautas visitarem esses endereços. “A maior infecção que me lembro foi de 1 milhões de páginas”, disse Huang. “Essa é muito maior”.

O widget fez de cada domínio infectado um site que lançava um ataque com o código “Nuke” contra usuários rodando Internet Explorer, Firefox, Chrome e Opera. Se o malware conseguisse hackear o browser, ele baixava um trojan. Vários antivírus reconheciam o vírus como uma variante do “Koobface”, um worm mais conhecido por atacar usuários do Facebook.

Huang disse que os atacantes ganhavam dinheiro exibindo propaganda nos micros infectados, e então espalhando o malware por meio dos programas de P2P instalados na máquina do usuário.

Com vários mecanismos de busca, Huagn estima que o widget apareceu em algo entre 500 mil e 5 milhões de sites. Mas ele aposta no número maior. “Serviços de busca não são bons em achar sites ‘em construção’”, disse.

Embora a Network Solutions tenha desabilitado o widget dos sites parados e tirado o GrowSmartBusiness.com do ar, o aplicativo permanece em cerca de 5,700 sites ativos que o instalaram manualmente.  “Se você baixou o widget GrowSmartBusiness em seu site, recomendamos que o apague e procure por código malicioso em sua página”, disse a Network em comunicado.

Huang disse que o problema começou em maio, quando a Armorize alertou sobre um site hospedado na Network Solutions que estava abrigando malware. À época, os pesquisadores não detectaram o tamanho da infecção.

É possível que as múltiplas infecções na Network Solutions estejam relacionadas. Em abril, a empresa de hosting teve um problema em larga escala com os blogs da plataforma WordPress, e em janeiro centenas de sites que hospeda foram vandalizados.

“Se esses eventos estão relacionados, em algum momento de abril esse grupo de cibercriminosos decidiu aumentar seu controle sobre a Network Solutions, e injetaram conteúdo malicioso maciçamente não somente nos sites parados, mas também nos blogs WordPress”, afirma o especialista.

via computerworld

São, portanto, uma espécie de antivírus online, que ao invés de escanear todo o seu computador, trabalham apenas no arquivo específico enviado, sendo perfeitas para escanear aqueles arquivos suspeitos que recebemos por e-mail.

Alguns exemplos de sandboxes:

• Malware Analysis System
• CWSandbox
• ThreatExpert
• Anubis

Dica sugerida por Rafael Soares Ferreira (BlogSegInfo)

Fonte: Notícias – Detalhes – Governo deve propor nova lei para a proteção de dados pessoais no País

Do G1, em São Paulo

As marcas de dedos deixadas nas telas dos celulares sensíveis ao toque podem ser usadas para capturar dados dos usuários, segundo um estudo publicado pela Universidade da Pensilvânia.

De acordo com o texto, as manchas de óleo deixadas pela pele humana na tela podem indicar as áreas mais usadas e a ordem em que foram tocadas.

Usando fotografias feitas em condições ideais (de iluminação e ângulo da câmera) com aumento no contraste, os pesquisadores foram capazes de adivinhar a senha padrão para telefones que roda o sistema operacional Android em 68% das tentativas – o padrão foi identificado pelo menos parcialmente em 92% dos testes nessas condições. Foram usados no estudo os modelos HTC G1 e Nexus One.

No experimento com piores condições, com fotografias de ângulos piores, os padrões de senhas foram identificados parcialmente em 37% das vezes e totalmente em 14%. Na análise, os pesquisadores identificaram que tentar limpar a sujeira da tela na roupa, por exemplo, não elimina as marcas que entregam as senhas.

Não haverão mudanças grandes da versão atual (DSS 1.2), mas na versão 2.0 o Conselho de Padrões de Segurança Payment Card Industry procurará clarificar os requerimentos da PCI em termos de segurança corporativa.

Fonte: Revisions to Credit Card Security Standard on the Way – CIO.com
BlogSegInfo

No último ano, o Ministério da Justiça elaborou e colocou em consulta pública proposta de marco regulatório civil da internet, com direitos e deveres dos usuários e provedores de internet. Ela deve ser enviada ao Congresso ainda neste semestre.

Fonte: Deputados buscarão acordo para votar lei de crimes na internet
BlogSegInfo