Falhas no antivírus

Existem casos em que nem mesmo o antivírus atualizado é suficiente para nos mantermos longe de problemas. Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o relatório da SurfRight (pdf).

Para ler esse artigo, clique no botão abaixo.

Puxa, essa história de nos mantermos seguros on-line não é fácil mesmo, não é verdade? Dá um trabalho lascado, não dá para bobearmos um segundo e ainda assim corremos o risco de ser pegos de surpresa por algum código malicioso, algum ataque de phishing bem disfarçado ou algum hacker.

Evidência disso é um relatório recém publicado pela SurfRight, que monitorou pouco mais de 100.000 computadores em todo o mundo durante um período de 55 dias entre Outubro e Dezembro de 2009. O resultado mais interessante dessa monitoração é que apesar de 73% dos computadores monitorados estarem com a solução de antivírus atualizada, 32% dessas máquinas atualizadas foram infectadas por algum tipo de vírus nesse período.

A conclusão a que se chega é de que o antivírus só não é suficiente, nem quando atualizado, para proteger o computador. Ah, e nem preciso falar do puxão de orelha básico nos 27% dos usuários que insistem em manter seus antivírus desatualizados, não é mesmo?

É importante ressaltar, no entanto, que os usuários procuram a solução da SurfRight, um antivírus de uso único chamado Hitman, quando seus computadores estão lentos demais ou se comportando estranhamente a ponto de desconfiarem de alguma infecção. Aí, claro, as estatísticas serão maiores mesmo. Contudo, o fato de que as soluções de antivírus nem sempre são tão eficazes quanto gostaríamos, permanece válida.

Por que isso acontece? Bem, porque as empresas que fabricam soluções de antivírus desenvolvem vacinas e bases de dados de assinaturas de vírus de forma reativa. Precisam de uma cópia do vírus para poder criar a solução. E às vezes demora para que os laboratórios de desenvolvimento recebam cópias do vírus em questão. Existem casos em que vírus “regionais” — desenvolvidos por alunos de alguma instituição de ensino, por exemplo — ficam restritos a uma área geográfica, demorando meses para se espalharem de forma mais abrangente.

Mas o que devemos fazer para nos protegermos se o antivírus atualizado não garante que os códigos maliciosos ficarão afastados? Bem, a primeira coisa é o nosso campeão de audiência “critério de navegação e cuidado com que se baixa da Internet”, claro. Mas além dele, temos outra providência que ajuda muito: adotar um antivírus de segunda opinião. O Hitman, o MalwareBytes e o HouseCall são exemplos desses varredores do tipo “segunda opinião”, que usam tecnologia de computação na nuvem e análise comportamental dos códigos, sendo eficazes onde os antivírus convencionais falham. Mas então por que não trocamos simplesmente de solução? Bem, em primeiro lugar tem a questão do preço: essas soluções só são gratuitas se usarmos as versões instantâneas, de uso único. Caso contrário, têm custos envolvidos que nem sempre são baixos. Em segundo lugar, porque nossos antivírus são, sim, bem eficazes, e a técnica da segunda opinião é útil, claro, desde que se tenha a primeira opinião para garantir o mais básico.

“Puxa”, muitos vão dizer, “é mais uma coisa obrigatória para eu fazer quando estou online?” Bem, obrigatória não. Só deve se preocupar com esse assunto quem quiser se manter seguro. Os demais estão desobrigados, obviamente.

Até a próxima.

Duas pragas de plugins do Firefox

Dois complementos para o Firefox traziam cavalos de troia para a máquina do usuário e ficaram sem detecção por meses. Ouça no artigo de hoje.

Audio via YouTube
>

Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o boletim no blog da Mozilla.

Clique aqui para ler um descritivo do Win32.LdPinch.gen na enciclopédia de vírus da Microsoft.

Clique aqui para ler um descritivo do Win32.Bifrose na enciclopédia de vírus da Microsoft.

Para ler esse artigo, clique no botão abaixo.

A Fundação Mozilla, responsável pelo desenvolvimento do navegador Firefox divulgou recentemente em seu blog que dois complementos que podiam ser baixados diretamente da página da Fundação carregavam códigos maliciosos que ficaram sem detecção durante meses.

Os dois complementos em questão são a versão 4.0 do Sothink Video Downloader, que continha o cavalo de troia Win32.LdPinch.gen; e o Master Filer, que continha o cavalo de troia Win32.Bifrose. Ambos os complementos com códigos maliciosos ficaram disponíveis de setembro de 2009 até o fim de janeiro de 2010, e o boletim da Mozilla sugere que os usuários que baixaram e instalaram esses complementos façam uma limpeza detalhada e imediata em seus sistemas. No período em questão o Sothink Video Downloader foi baixado cerca de 4000 vezes e o Master Filer por volta de 600 vezes. A Mozilla alerta, ainda, que não basta desinstalar os complementos para limpar o sistema. É necessário realizar uma varredura com um antivírus atualizado e remover todas as instâncias de arquivos e referências no registro que essas pragas gravam no disco.

Os cavalos de troia em questão são descritos pela enciclopédia de códigos maliciosos da Microsoft como sendo da categoria “severos”, e não devem ser subestimados. O Win32.LdPinch.gen capta senhas digitadas pelo usuário e utiliza um mecanismo próprio para enviar e-mails com os dados roubados para endereços na Internet. Já o Win32.Bifrose abre uma “porta dos fundos” no computador infectado e avisa o atacante de que esse computador está aberto para acessos remotos. O atacante pode, então, entrar na máquina e dar os comandos que quiser, copiando arquivos e observando o comportamento do usuário sem que este saiba. Um fato preocupante informado pela própria Mozilla é que segundo avaliações da Fundação são poucos os pacotes de antivírus que explicitamente detectam essas pragas. Sugiro fortemente que cada usuário confira na base de dados de vírus no site de sua solução se seus antivírus estão preparados para lidar com essas pragas específicas, principalmente se baixaram os complementos infectados.

Há duas lições importantes nesse caso. A primeira é que mesmo instituições confiáveis e softwares confiáveis podem ser vetores de infecção por vírus, o que nos deve deixar mais alertas ainda do que já somos hoje. A segunda é que com o aumento da velocidade e dos recursos dos computadores, cada vez mais software estará disponível para que instalemos e utilizemos, o que é mais matéria-prima para os bandidos. Em ambos os casos, a cautela e o preparo são armas fundamentais para quem quer se proteger.

Até a próxima.

Por que nunca acabam as correções de software?

Vem aí mais uma batelada de correções da Microsoft, como sempre. Por que será que elas nunca acabam? Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo da Threatpost sobre as próximas correções dos produtos da Microsoft, a serem publicadas em 09 de Fevereiro.

Clique aqui para ler um artigo de Matthew Broersma, da PCWorld mencionando a existência de 01 defeito de segurança a cada 1000 linhas de código aberto.

Clique aqui para ler um artigo de Jeff Williams mencionando a existência de 15 defeitos de segurança a cada 1000 linhas de código proprietário.

Para ler esse artigo, clique no botão abaixo.

Em mais um comunicado rotineiro a Microsoft anuncia outra série de correções aos seus produtos, a ser lançada em breve para usuários no mundo todo. São dezenas de vulnerabilidades nos sistemas operacionais e nas ferramentas do Office que serão corrigidos, e a gente fica se perguntando: quando é que vão corrigir todos esses erros, acabando com a necessidade desses remendos? A resposta, infelizmente é “nunca”. “Ah, mas um dia tem que acabar, pois quantidade de vulnerabilidades não é infinita, não é mesmo?”, alguém pode retrucar.

Bem, de fato a quantidade de vulnerabilidades nos vários pacotes de software disponíveis no mercado não é infinita, pois para tanto o código deveria ter tamanho infinito, o que é um contrassenso. Ainda assim essas vulnerabilidades nunca serão todas corrigidas em função do ciclo de obsolescência e desenvolvimento de software. Funciona assim: é fato que o processo de desenvolvimento de software não é perfeito, e defeitos de segurança acabam “sobrando” no produto final. Não é tarefa fácil quantificar esses erros, mas um estudo do Departamento de Segurança Interna dos EUA, órgão ligado ao Departamento de Defesa, mostra que no caso do software de código aberto a média é um defeito de segurança para cada 1000 linhas de código. Já no caso do software de código proprietário,isso é, que ninguém a não ser o fabricante conhece, como os produtos da Microsoft, esse número pula para uma média de 15 defeitos a cada 1000 linhas de código. Em uma aplicação típica de 200.000 linhas de código, portanto, existem entre 200 e 3000 defeitos de segurança. Como são desconhecidos, o processo de encontrar e corrigir esses defeitos demora anos, literalmente. E bem antes que todos sejam de fato corrigidos o ciclo de obsolescência entra em cena. Ou seja, o desenvolvimento de computadores mais rápidos e de novas técnicas de programação faz com que novas versões de software sejam sempre lançadas, tornando as anteriores obsoletas. É claro que nas versões novas há código novo, o que dá novo início ao ciclo de correção de defeitos. Em suma: é um processo cíclico que nunca acaba.

E nós, usuários domésticos, com isso? Bem, sabendo que defeitos sempre existem, e que as correções nunca vão acabar, ficamos alertados para mantermos nosso software sempre atualizado nos computadores que utilizamos. Até porque o tempo entre a descoberta de um defeito e a exploração desse defeito pelos ciber-criminosos se reduz a cada ano que passa. Hoje são comuns os casos de defeitos encontrados que são transformados em ataques pelos bandidos no mesmo dia, enquanto os fabricantes ainda não atingiram esse tipo de “eficiência”. Nesse contexto, é fundamental que mantenhamos nossos sistemas religiosamente atualizados, sob pena de nos expormos aos ataques, que cada vez mais rapidamente batem à nossa porta.

Bom fim de semana e até a próxima.

Dicas úteis para redes sociais

Acaba de ser publicada uma cartilha do CAIS/RNP com dicas úteis para quem utiliza redes sociais. Ouça no artigo de hoje.

Clique aqui para baixar a cartilha de segurança para redes sociais do CAIS/RNP.

Para ler esse artigo, clique no botão abaixo.

Hoje a dica é simples e direta. Tanto que não vai merecer nem um arquivo em áudio (fato impulsionado, claro, por minha absoluta falta de tempo).

O Centro de Atendimento a Incidentes de Segurança, CAIS/RNP acaba de publicar uma cartilha com dicas muito úteis de segurança para os usuários de redes sociais.

Nesse documento são apresentadas dicas de inscrição nas redes sociais, com ênfase para a criação de contas separadas (não usar a conta existente do Google para acessar o Orkut, por exemplo), não permitir que seu e-mail seja usado para que outras pessoas o encontrem, só permitir que seus amigos diretos veja o conteúdo que você publica, e por aí vai.

É um excelente recurso para quem zela por sua própria privacidade, e uma adição muito bem-vinda ao arsenal de ferramentas de segurança à disposição do usuário doméstico.

O link para a cartilha está logo acima, antes do botão para ler o artigo.

Desculpem o mau jeito e até a próxima.

O perigo do reuso de senhas

Tem muito bandido por aí que conta com o fato de que reutilizamos nossas senhas bancárias e outros sistemas. Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o relatório da Trusteer.

Para ler esse artigo, clique no botão abaixo.

Um relatório recente e bastante didático da Tusteer alerta para duas estatísticas perigosas: 73% dos usuários usam suas senhas bancárias em pelo menos um outro site menos sensível, e 47% dos usuários utilizam seu login e sua senha em pelo menos um outro site menos sensível.

Isso equivale a dizer que quase 3 a cada 4 usuários usam sua senha de acesso à conta do banco em um site menos comprometedor, como sites de rede social, por exemplo. Equivale também a dizer que quase 1 a cada 2 usuários usa não só sua senha, mas o nome de login no site do banco também em outro site menos comprometedor. “Por que isso é um problema?” alguns podem perguntar. Bem, por várias razões.

A primeira e principal delas é que sites de banco são muito bem protegidos, geralmente por várias camadas de segurança, o que torna o roubo de informações de acesso um processo muitíssimo difícil. Já os demais sites podem não ter (e em muitos casos, comprovadamente não têm) mecanismos semelhantes de proteção, o que torna o roubo de informações de acesso um processo mais acessível aos ciber-criminosos. Outro aspecto é que temos barreiras e prevenções mais rígidas quanto às nossas informações bancárias quando comparadas com informações de acesso a outros sites. Um ataque de phishing que nos peça dados de conta corrente, por exemplo tem poucas chances de ser bem-sucedido; já um ataque de phishing que peça para confirmarmos nossos dados de acesso ao Facebook ou do Twitter, por exemplo, vai nos encontrar naturalmente menos desconfiados.

O relatório da Trusteer inclusive cita sites mal intencionados em que o usuário deve criar uma conta com login, senha e código de confirmação de acesso, como nos bancos. As estatísticas acima mostram que vários de nós vamos criar a conta no tal site com os mesmos dados de acesso de nossa conta bancária. Aí o bandido só precisa acessar o site do banco e usar nossas credenciais, que demos a ele com alegria em nosso processo de cadastro no site falso.

Qual é a lição aqui? Bem, sei que já pareço um disco riscado (para aqueles que, como eu, são do tempo dos LPs), mas aquela velha dica se aplica como luva: não repita senhas. Eu bem sei que é um saco administrar senhas diferentes para todos os sites e sistemas que precisamos acessar, mas o fato é que é necessário esse tipo de procedimento se quisermos zelar por nossa segurança. As estatísticas apresentadas pela Trusteer são prova de que a reutilização de senhas é um hábito perigosíssimo, e os dados de violações a contas correntes comprovam esse perigo.

Até a próxima.

Ataques direcionados serão um problemão

Hoje já não é nada difícil dizer onde você está e nem afirmar que um determinado acesso ao site vem exatamente do seu navegador, o que é um baita tapa na sua privacidade. Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Dennis Fisher, do Threatpost, sobre ataques direcionados.

Clique aqui para ir para a página do Panopticlick, a feramenta da Electronic Frontier Foundation que identifica univocamete uma configuração de navegador.

Para ler esse artigo, clique no botão abaixo.

Duas notícias recentes, quando somadas, dão uma dimensão preocupante sobre a questão da privacidade na Web. Em uma delas, Dennis Fisher do site Threatpost mostra como os hackers estão utilizando técnicas de geolocalização e de definição de perfis para descobrir quem são as pessoas a serem atacadas e onde estão localizadas geograficamente.

Este é um enfoque novo no que diz respeito aos ataques, apesar de a técnica já ser utilizada há bastante tempo por empresas de publicidade para servir anúncios que sejam pertinentes para quem chega a uma página da Web qualquer. Com base no endereço IP do computador visitante e de alguns outros dados de identificação, essas empresas de publicidade sabem, por exemplo, que eu estou no Brasil, e me mandam banners e anúncios de empresas brasileiras. Afinal de contas, não seria nada eficiente se eu começasse a receber anúncios, digamos, de empresas tailandesas.

Bem, o fato é que a mesma técnica passou a ser utilizada por bandidos para atrair vítimas com mais eficiência para os golpes que aplicam. Em seu artigo, Fisher aponta para um ataque de phishing em que uma falsa notícia da agência Reuters anuncia uma explosão nos arredores de Bangalore, na Índia. Mas se o usuário visitando a página fosse da Rússia, por exemplo, a falsa notícia diria que a explosão foi nos arredores de Moscou, aumentando consideravelmente a chance de o usuário clicar no link (que no caso é malicioso e tenta descarregar um cavalo de troia no computador da vitima). Em suma, a técnica desenvolvida pelo pessoal de marketing e publicidade está sendo adotada pela bandidagem.

A outra notícia foi a disponibilização pela EFF, a Electronic Frontier Foundation, de uma ferramenta que demonstra com técnicas simples que é possível identificar o seu navegador com certeza de que é você que visita uma página qualquer. A ferramenta da EFF usa dados coletados legalmente de sua máquina quando você clica no link do aplicativo, e diz que sistema operacional está sendo usado, que versão do navegador, quais os plugins instalados no navegador, quais as fontes instaladas no computador, e por aí vai. Tudo isso compõe uma espécie de “assinatura” que é então comparada com uma base de dados de assinaturas coletadas pela EFF através da aplicação. No meu caso (eu que particularmente gosto de conhecer e usar novas fontes sempre que possível) tenho uma assinatura única nos mais de 450 mil perfis traçados pela EFF.

O que significa isso? Significa que alguém usando a mesma técnica da EFF — e nada impede que essa técnica seja usada legalmente por quem quer que seja — poderá afirmar com certeza que sou eu visitando uma página qualquer na Web. Os publicitários podem, por exemplo, customizar seus anúncios não só com base em meu país ou nas páginas que costumo visitar, mas sim para meus gostos pessoais. Em suma: lá se vai mais um pedaço da nossa privacidade.

E tem alguma coisa que possamos fazer para evitar esses dois problemas mencionados? No primeiro caso, a dica é a mesma de sempre: evitar clicar em links de procedência duvidosa e definir um critério responsável de navegação. Não resolve tudo, mas já ajuda bastante. No segundo caso, não há o que fazer, infelizmente. Os remédios paliativos de desabilitar o Javascript, os cookies e o Flash no navegador vão restringir demais nossa capacidade de navegação, e é com esses mecanismos que nossas informações são levantadas. Há sugestões no sentido de criar uma proteção para certas informações, mas não existe esforço nesse momento para implementar essas sugestões. O que dá para fazer é saber que a técnica existe e ficar alerta para que não seja usada contra nós.

Até a próxima.

Telefone no computador é seguro?

Já existem muitas aplicações—gratuitas e pagas—que permitem realizar chamadas telefônicas no computador. Elas são seguras? Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Notrax no site Infosecurityguard.com.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Wladimir pergunta:

“Uso o Skype para falar com amigos e parentes fora do Brasil, e gostaria de saber se existe algum risco de alguém grampear essas chamadas.”

A questão dos grampos em chamadas via Skype e outras soluções de voz via IP — uma tecnologia conhecida também como VoIP — é uma preocupação antiga na comunidade que desenvolve essas ferramentas. A razão é simples: teoricamente um grampo em VoIP é mais fácil de ser realizado que um grampo em linhas telefônicas fixas. Isso porque o indivíduo fazendo o grampo não precisa ter acesso físico à linha. Basta o hacker ter alguns dados de identificação da máquina sendo grampeada e a mesma ter alguma vulnerabilidade conhecida que o ataque pode ser realizado de qualquer ponto do planeta. Como as informações de identificação da máquina são simples de serem obtidas e como as vulnerabilidades não são raras nos computadores, teoricamente é mesmo mais fácil grampear uma chamada VoIP.

As empresas que fornecem soluções de VoIP, por sua vez, não estão paradas, e criam mecanismos que protegem as chamadas, basicamente utilizando mecanismos de criptografia para “embaralhar” o conteúdo dos pacotes de voz, impedindo um hacker que grampeie a chamada de entender o que está sendo falado.

O Skype, que você menciona, Wladimir, utiliza um mecanismo de criptografia proprietário, que é considerado de boa qualidade, sendo que não há incidentes de violação em aberto. É uma ferramenta considerada segura, com uma ressalva importante: o mecanismo de criptografia é proprietário, como mencionei, e nesses casos sempre existe a possibilidade de os próprios mantenedores do Skype terem maneiras ocultas que lhes permitam ouvir as chamadas. Essa é uma preocupação bastante comum da comunidade de VoIP, que geralmente prefere ferramentas que utilizem algoritmos conhecidos (e portanto com certa garantia de qualidade) ao invés de algoritmos proprietários.

Além do Skype, existem dezenas de soluções de VoIP, e recentemente um hacker que se intitula “Notrax” publicou um artigo em que demonstra que 13 dos 15 pacotes comerciais de VoIP mais conhecidos são vulneráveis a grampos. O método utilizado por Notrax é simples, mas exige a instalação de um cavalo de troia no aparelho sendo grampeado.

O que nos leva à pergunta: como nos protegermos desse tipo de grampo? Bem, a tecnologia de VoIP está se disseminando cada vez mais em dispositivos móveis (smartphones, PDAs com acesso wireless) e computadores pessoais (desktops e notebooks). Os ataques perpetrados até o momento dependem de código malicioso instalado no dispositivo. Isso pode ocorrer de duas formas. A primeira delas é nossa velha conhecida “clicar em link suspeito de um site invadido”. A defesa é a também conhecida cautela e alguma ferramenta que avise se o site é seguro ou não, como já falamos várias vezes por aqui. Outra forma, essa mais utilizada para invadir dispositivos móveis, é a instalação direta no aparelho, que em muitos casos exige acesso físico ao dispositivo. Aí o usuário deve pensar se em algum momento de seu dia deixa o telefone em local público sem sua supervisão. Deixar o aparelho na mesa do escritório e sair para ir ao banheiro ou para tomar um café, por exemplo, é algo extremamente comum, e esse tempinho é mais que suficiente para que alguém mal intencionado grampeie o aparelho. Ainda nessa veia, é plenamente possível enviar software malicioso via SMS, com já existem casos relatados.

É realista pensarmos em alguém grampeando nosso celular? E nosso Skype? É realista sermos grampeados aí? Essas são excelentes questões que devem ser pensadas por cada um de nós. Até porque não há motivo para entrarmos em pânico se não for o caso de sermos alvos potenciais desse tipo de ataque. Falo de vez em quando via Skype com uma amiga que mora nos EUA. Será que alguém tem interesse em escutar nossas conversas? Desconfio seriamente que não. Mas existe gente que usa ferramentas de VoIP para tratar de negócios, e aí a coisa muda de figura. Aí, todo cuidado é pouco, de fato.

Em todo caso, sempre valem as sugestões de proteger o sistema operacional, atualizar sempre o antivírus, cuidar de onde se navega, não ter software pirata no computador e por aí vai.

Mantendo seu sistema seguro, Wladimir, as chances de grampo no Skype — que, repito, é uma ferramenta segura — ficarão bem reduzidas.

Até a próxima.

Phishing e fraudes em alta

O ano começa com algumas notícias preocupantes nos campos do phishing e das fraudes. Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo da Help Net Security sobre o crescimento dos casos de phishing.

Clique aqui para ler o artigo da Computerworld sobre o crescimento das fraudes nigerianas.

Clique aqui para ler o artigo do G1 sobre as fraudes nigerianas no Brasil.

Para ler esse artigo, clique no botão abaixo.

Duas notícias recentes mostram que velhos problemas de segurança continuam em alta, prometendo estragos ainda maiores em 2010.

Na primeira delas o site Help Net Security comenta sobre um estudo da Network Box apontando para uma estatística triste: mais de 55% dos ataques via e-mail foram de phishing agora em janeiro. Ou seja, de cada 2 e-mails maliciosos recebidos, um é de ataque de phishing. Essa estatística absurda indica que esse tipo de ataque continua sendo bastante efetivo, encontrando vítimas aos montes mesmo diante de tantos avisos sobre a praga. Os dados da Network Box confirmam ainda algo sobre o qual já comentei aqui no 5 Minutos de Segurança: o Brasil continua sendo o campeão mundial no envio de SPAM, e também vence na subcategoria SPAM de phishing. Segundo o estudo, 15,7% das mensagens de phishing enviadas no mundo têm origem no Brasil. Imagino que os ouvintes e leitores do 5 Minutos de Segurança estejam se preparando constantemente contra esse tipo de ataque, e não vão cair facilmente nesse tipo de conto do vigário. Ainda assim, ficam algumas perguntas para todos nós: será que estamos estendendo nosso conhecimento sobre esse assunto (e sobre outras questões de segurança, claro) para as pessoas que conhecemos? Será que estamos alertando nossos pais, nossos parentes, nossos irmãos, filhos, amigos, colegas sobre esse problema? Ou estamos nos preparando para enfrentá-lo e mantendo “a candeia sob o alqueire”, para usar uma expressão antiga? Posso afirmar que não é nada agradável receber a notícia de que um conhecido sofreu um problema desses sendo que a gente poderia perfeitamente ter feito algo a respeito a título preventivo.

A segunda notícia, que é relacionada com essa questão foi publicada pela Computerworld, mencionando um estudo da empresa holandesa Ultrascan, que informa um crescimento de mais de 40% nas fraudes do tipo 419 (também conhecida como “fraude nigeriana”). Para refrescar a memória é aquele golpe em que você recebe um e-mail de algum suposto oficial do governo de um país africano oferecendo uma grande soma de dinheiro em troca de ajuda financeira para tirar a bolada do país e trazer para o Brasil. Em 2008, afirma o estudo, foram 6,3 bilhões de dólares roubados com esse tipo de golpe, um número que cresceu para 9,3 bilhões de dólares em 2009 e engloba casos em 152 países. No Brasil esse golpe toma cores tupiniquins e é aplicado geralmente via mensagem SMS no celular. A vítima é informada que ganhou algum prêmio, tipo um celular, uma casa ou um carro e para recebê-lo tem que pagar uma taxa qualquer. Quem paga vê seu dinheiro ir embora e não recebe nada em troca.

Penso que essas duas notícias de crescimento de golpes antigos estejam ligadas ao fato de que cada vez mais gente ganha acesso à Internet, sem o devido preparo para isso. Entrar na rede é fácil, criar um e-mail é rápido e sair navegando é um prazer para quem chega à Internet. Mas se não fizermos um esforço para instruir nossos conhecidos sobre os tipos de perigo contra os quais eles têm que se precaver, estaremos contribuindo com nossa passividade para que esses problemas cresçam ainda mais nos anos à frente.

Bom fim de semana e até a próxima.

Algumas questões de privacidade do iPad

O tão esperado iPad foi anunciado, finalmente. O que devemos esperar do dispositivo em termos de segurança? Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Dan Morrill sobre o código malicioso no site www.ipad.com.

Clique aqui para ler o artigo de Agam Shah, da TechWorld, sobre a segurança do iPad.

Para ler esse artigo, clique no botão abaixo.

Meses de espera e especulações terminaram ontem com o lançamento do iPad da Apple. O executivo chefe da empresa, Steve Jobs, assessorado por alguns dos vice-presidentes da empresa demonstraram as capacidades do novo dispositivo e depois do lançamento não se falou praticamente sobre mais nada na Web.

O que se espera de agora para frente é um conjunto de revisões sobre o produto, muitas opiniões (e se a história recente é algum indicativo, muita gente vai meter o pau no dispositivo), mas no fim das contas — também levando em conta a história recente — vai ter fila em Abril para comprá-lo e a Apple vai ganhar dinheiro suficiente para encher alguns petroleiros com as vendas nos próximos anos.

Mas e a segurança? O que podemos dizer sobre a segurança do novo dispositivo da Apple?

Bem, a primeira coisa a ser dita é o seguinte: não entre no endereço www.ipad.com, pois segundo o consultor Dan Morrill o mesmo foi registrado por alguém na China, e a página tenta descarregar um código malicioso chamado QVodSetup3.exe no computador do usuário. Péssimo começo, não é mesmo? Pois é, os golpistas vêm tentando antecipar o nome do dispositivo faz meses, e um deles deu a sorte de acertar o nome e registrá-lo, fazendo uma página cujo objetivo é invadir o computador de quem a acessar.

Outra preocupação com a segurança foi levantada pelo colunista Agam Shah, do site TechWorld, e diz respeito à impossibilidade de travar o dispositivo à distância, protegendo os dados do usuário se o iPad for roubado. Essa capacidade existe no iPhone, e como o iPad também tem comunicação via sinal de celular 3G, deveria vir de fábrica. Se um desses dispositivos for roubado, o ladrão terá acesso ao conteúdo nele armazenado, sem que a vítima possa fazer nada para impedir.

Por falar em roubo, uma das ferramentas de segurança mais úteis para quem usa notebooks é o cabo de aço com cadeado, que impede os dispositivos de “evaporarem” quando o dono sai da sala. Esse mesmo dispositivo torna-se um contrassenso para o iPad, pois impede a total mobilidade exigida pelo aparelho. Isso implica em o usuário carregá-lo o tempo todo, sob o risco de não o encontrar se o mesmo for deixado sem supervisão. Esse é um problema conhecido dos donos de iPhone, e a expectativa é que se torne uma preocupação também para os donos de iPad.

No mais, as preocupações devem ser as mesmas que temos que ter com um computador comum: atualizações periódicas no sistema operacional e no navegador (que é o Safari, da Apple), não bobear com a conexão com as redes sem fio desativando o sinal quando não estiver em uso, não se conectar com redes desconhecidas, não baixar aplicações sem conhecer a procedência, e outras sobre as quais vivo falando nesse espaço.

Imagino que o iPad vá ser um sucesso, mas espero que o dispositivo não venha a ser um risco para a segurança de seus donos.

Até a próxima.

O Google, o bug e a privacidade

Uma falha na barra de ferramentas do Google viola a privacidade dos usuários. Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo do professor Ben Edelman sobre o caso.

Clique aqui para ver um vídeo mostrando a violação de privacidade da barra de ferramentas do Google.

Para ler esse artigo, clique no botão abaixo.

Você conhece a barra de ferramentas do Google? Trata-se de um mecanismo para facilitar o acesso aos recursos da empresa, tais como as buscas, as configurações pessoais de acesso ao site, o acesso ao GMail e por aí vai. É um recurso muito semelhante a outras barras de ferramentas oferecidas por várias empresas, tais como por exemplo o Yahoo!, a Microsoft, o Bing (que é da Microsoft) e o Orkut (que é do Google).

Essas barras de ferramentas são semelhantes em função, facilitando o acesso aos recursos disponibilizados pela empresa, mas também se parecem em outro aspecto: quando ativas elas coletam dados do ambiente e da navegação do usuário e os enviam para a empresa que criou a barra em questão. Esse é um fato que o usuário nem sempre conhece, e que sutilmente reduz sua privacidade na rede. Quando a barra de ferramentas está ativa, os endereços dos sites navegados pelo usuário, por exemplo, são enviados à empresa, que utiliza essa informação para servir publicidades mais direcionadas para os gostos desse usuário.

É bom lembrar que não há nada de ilegal nesse processo, pois o usuário é informado sobre esse compartilhamento de informações quando instala a barra de ferramentas. Isso, claro, se esse usuário lê o acordo de uso de licença, com o qual tem que concordar para que a barra seja instalada. Numa estimativa puramente empírica, penso que menos de um a cada dez mil usuários leem esses acordos. Ainda assim, ao clicar no botão “concordo”, estamos dando o direito à empresa de coletar nossas informações.

O problema maior não é esse, infelizmente. Ontem o professor de Harvard Ben Edelman demonstrou em seu blog que a opção de desligar a barra de ferramentas para a janela em uso não funciona, pois as informações continuam sendo coletadas e enviadas para o Google. Essa sim é uma violação de privacidade de primeira grandeza, que obrigou o Google a um pronunciamento e fez com que o gigante das buscas criasse uma correção imediata para o problema.

Depois do alarme dado por Edelman a comunidade de segurança volta seu foco novamente para as questões da privacidade, enfatizando que as barras de ferramentas atuam contra essa privacidade. Atuam legalmente, claro, mas nem sempre o usuário está devidamente informado sobre os efeitos ocultos das facilidades oferecidas. Além do que, a oferta dessas barras é cada vez mais comum nos sites que visitamos, sua instalação é simples e bem rápida, e desabilitá-las é em alguns casos um processo complexo.

O usuário doméstico deve pesar com critério e atenção os supostos benefícios de ter uma ou mais dessas barras de ferramentas instaladas em seu navegador. Muitas vezes vejo usuários instalando esses recursos sem pensar sobre o que estão fazendo, e sem nunca utilizá-los. “Ah, o site ofereceu e eu instalei sem pensar” é uma resposta que já ouvi mais de uma vez. Essa definitivamente não é uma atitude de quem preza pela própria privacidade, e consequentemente por sua segurança.

Até a próxima.