Segurança nas festas de fim de ano

Hoje o artigo vem num formato diferente, para abordar o assunto de segurança sob um aspecto também diferente.

Esse blog é dedicado a falar sobre segurança para usuários de computadores, da Internet e da Web, e penso que ao longo desses quatro meses de existência várias informações úteis tenham sido apresentadas aos leitores que me acompanham, com a paciência e o interesse pelos quais sou imensamente grato. Mas hoje quero falar sobre um aspecto diferente da segurança: a segurança física de todos nós. Mais especificamente, quero falar sobre um risco que corremos em épocas comemorativas, nas quais álcool e outras substâncias de uso controlado tendem a ser “ferramentas” comuns.

Nada melhor que curtir as festas de fim de ano junto aos amigos e entes queridos. Contudo, nada pior do que receber notícias ou participar de tragédias familiares nessa época. E o abuso do álcool durante as festas algumas vezes propicia justamente isso: tragédias.

Nós que já estamos no caminho do aprendizado das questões de segurança precisamos incorporar mais essa lição ao nosso cabedal: bebida alcoólica e drogas não são ferramentas de segurança, principalmente quando aliados ao volante. É uma lição simples, mas que muitos de nós ainda teimam em desconsiderar.

Trombei com o vídeo abaixo no fim de semana, e penso que seja importante demais para não ser compartilhado com os leitores e ouvintes desse blog. É violento, é doloroso, é triste a não poder mais. Mas é a forma mais efetiva que já vi para passar a mensagem de segurança que mais interessa nesse período de festas: não devemos misturar bebidas (ou drogas) e volante em hipótese alguma. Eu gostaria que no Brasil tivéssemos campanhas de conscientização de segurança ao volante como essa, que é australiana. Talvez a situação por aqui fosse melhor do que o doloroso quadro de “campeões mundiais” em acidentes automobilísticos que enfrentamos hoje. Peço a todos que assistam até o fim também que compartilhem com parentes, amigos e conhecidos:



Uma última, mas importante notícia: esse blog entra em recesso a partir de hoje. Saio de férias, retornando — junto com os artigos diários — dia 04 de janeiro de 2010.

Boas festas a todos, muito obrigado pela audiência nesse ano, e até a próxima.

Correção da Adobe pode demorar

A Adobe alerta para uma falha no Acrobat Reader, e diz que a solução só sai em Janeiro. O que fazer até lá? Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Essa semana a Adobe fez manchetes no noticiários de segurança em duas ocasiões. Primeiro ao avisar sobre mais uma vulnerabilidade em alguns de seus produtos — em especial o Acrobat Reader, para exibição de arquivos no popular formato PDF. Ontem a Adobe gerou uma segunda manchete, quando veio a público avisar que a correção para os problemas recém-descobertos não tem data para sair. A julgar pelo ciclo habitual de correções da Adobe, essa correção vai demorar, pois a próxima data agendada é o dia 12 de Janeiro, quase um mês no futuro.

Essa vulnerabilidade descoberta permite que um arquivo PDF com código malicioso embutido execute comandos via um componente chamado Javascript. Esse mecanismo, que é muito útil para a execução de vários pequenos aplicativos dentro de browsers, e que acionamos diariamente dezenas de vezes sem perceber, foi a forma encontrada pelos ciber-criminosos para tomar controle das máquinas através do Abrobat Reader.

Um fato interessante é que se trata de uma vulnerabilidade universal. Segundo os especialistas ela afeta máquinas rodando sistemas operacionais Windows, Linux e MacOS. No caso do Windows XP, os PDFs com código malicioso permitem o controle sobre a máquina da vítima; no caso das máquinas Linux e MacOS os PDFs com código malicioso travam o computador.

Ah, e já foram encontrados PDFs sendo enviados por e-mail com o código malicioso embutido. Essa ocorrência ainda é baixa, mas ataques baseados nessa técnica tendem a crescer à medida que a Adobe demore a soltar uma correção, principalmente pela publicidade que o caso tem gerado.

E quais são as alternativas para que o usuário evite essa praga em seu computador? Bem, existem duas. A primeira é evitar abrir arquivos em formato PDF até que o problema seja resolvido. É uma alternativa bastante radical, e pode afetar muito a produtividade dos usuários, uma vez que o formato PDF é bastante popular. A segunda alternativa é desativar o Javascript no aplicativo Acrobat Reader. Isso permite que o usuário possa utilizar arquivos em formato PDF, perdendo apenas uma pequena conveniência dos mesmos, que muita gente nem utiliza. A desativação do Javascript no Acrobat Reader é rápida e simples. Testei a mesma nos sistemas operacionais Windows XP, Vista e Windows 7, e funciona da mesma forma na versão 9.2 do Acrobat Reader nos três sistemas operacionais. Funciona assim:

• Abra o Acrobat Reader;
• Clique na opção “Editar”, a segunda na barra horizontal de menu;
• Clique na última opção do menu, intitulada “Preferências”;
• Na janela que se abre, procure pela opção “Javascript” na lista do lado esquerdo e clique sobre a mesma;
• No formulário que vai se abrir, a primeira opção é “Ativar Javascript”, e o usuário deverá deixá-la desmarcada.

Pronto, assim o Javascript está desativado, e o usuário está protegido contra essa vulnerabilidade.

Agora basta ficar de olho no noticiário — um hábito salutar de quem quer se manter seguro na Internet — e aguardar pela correção da Adobe. É possível que a empresa lance a correção necessária antes do dia 12 de Janeiro, mas não dá para afirmar quando.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Cuidado com as promessas de TV no computador

São cada vez mais fáceis de encontrar anúncios de serviços de TV direto no computador. Mas sob o pont de vista de segurança, é preciso tomar muito cuidado com essas ofertas.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um aviso sobre código malicioso no Sopcast e aqui para ler um aviso sobre código malicioso no TVAnts.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Yuri mandou duas perguntas relacionadas às publicidades de sinal de TV via Internet para computadores. A primeira delas é sobre uma janela “chata” de pop-up que vem atrapalhar nos momentos mais inconvenientes. Aliás, “janela chata de pop-up” é pleonasmo, não é mesmo? Bem, apesar de não ser um problema de segurança, vamos lá. Eu só uso o anti-popup que vem com o Firefox, e sei que ele é falho. Mas eu também uso uma extensão chamada Adblock Plus, que barra não só janelas de pop-up, mas também quase todas as publicidades. É excelente para economizar banda e espaço na tela. É tão boa que eu nem fazia ideia desse problema que o Yuri citou. Desde que adotei o Firefox, o Adblock Plus tem sido um de meus plugins preferidos, e sugiro àqueles que se sentem incomodados com publicidades inconvenientes que façam um testdrive nele.

A segunda parte da pergunta também parecia não ter nada a ver com segurança, mas vim a descobrir que tem, e muito. Não foi difícil achar um cliente do serviço mencionado de TV pelo computador, e uma conversa com esse cliente junto com uma avaliação mais detalhada da suposta “suíte de software” vendida pela empresa mostra que todo cuidado é pouco.

A primeira surpresa que uma análise nos traz é que a tal “suíte” é na verdade uma coleção de páginas em HTML. Nessas páginas encontramos links para software distribuído via Web, aplicações que são de distribuição gratuita, podendo ser baixadas sem precisar pagar nada a ninguém.

Logo na página inicial a solução vendida afirma disponibilizar “download ilimitado de filmes e séries de TV” Mandei uma pergunta para eles sobre qual o custo de cada filme ou episódio de série, mas não recebi resposta. Ao clicar nos links que supostamente levariam a esse material, a segunda surpresa: a página simplesmente dá um link para o uTorrent, um cliente peer-to-peer e aponta o usuário para sites com informações de download. Isso é um perigo enorme, pois a vasta maioria dos filmes indexados nesses sites tem direitos autorais, e o usuário desavisado pode cometer pirataria sem saber. Nesses sites de indexação também existem links para aplicativos, e aí o perigo é maior ainda: além de cometer pirataria o usuário poderá estar trazendo vírus e cavalos de troia para dentro de seu computador. A empresa até escreve nas letras miúdas que não incentiva a pirataria, mas também não faz nada para avisar o usuário que os sites indicados têm por volta de 90% de material pirateado.

Quando clicamos no link para os milhares de canais de televisão supostamente disponibilizados, chegamos à terceira surpresa: o que encontramos são links para download de aplicativos multimídia tais como o Windows Media Player e o Real Player — que são gratuitos — e para instruções de como instalá-los. Além disso, alguns programas também são oferecidos, esses são programas de peer-to-peer que exibem o material audiovisual. Todos são gratuitos também, aliás. Nesse momento a pessoa que comprou o serviço me fez entender porque não estava satisfeita com seu gato.

Mas as surpresas não pararam por aí: o pior ainda estava por vir. Ao pesquisar sobre os programas peer-to-peer de exibição dos canais, percebi duas coisas bastante preocupantes. A primeira é que esses programas exibem fluxos de vídeo disponibilizados por outros usuários, que não são necessariamente os canais de televisão. Funciona assim: um usuário instala uma placa de TV em seu computador e recebe o sinal da TV paga, De lá, esse usuário disponibiliza o sinal via peer-to-peer. Ou seja, muito do material disponibilizado não tem autorização das emissoras. Ou alguém acha que a HBO americana vai disponibilizar seu sinal sem cobrar nada de ninguém? A segunda coisa preocupante com esses programas de exibição é a seguinte: alguns deles, como por exemplo o Sopcast e o TVants já tiveram várias reclamações de usuários por trazerem vírus, spyware e cavalos de troia junto com o fluxo audiovisual.

O tempo todo a empresa toma muito cuidado para se isentar de quaisquer problemas que venham a surgir do serviço. Um cuidado que quem toma geralmente é muito bem assessorado juridicamente. E como dizem os mais velhos (e mais sábios): para quem sabe ler, pingo é letra.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Cinco razões pelas quais a segurança falha

Um consultor renomado oferece cinco razões pelas quais a segurança falha. Esse que vos escreve sugere reduzir as cinco razões oferecidas a apenas uma.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Adi Ruppin, na revista CSO Security and Risk.

Para ler esse artigo, clique no botão abaixo.

O articulista Adi Ruppin, da revista CSO Security and Risk, publicou recentemente um artigo em que oferece cinco razões pelas quais a segurança falha nas instituições. Penso que pelas mesmas razões a segurança também falhe para o usuário doméstico. Penso ainda que dá para simplificar ainda mais essas razões. Mas primeiro, vamos a elas.

A primeira razão oferecida por Ruppin é a questão do elo mais fraco. Preocupamo-nos em fortalecer nossa segurança com ferramentas tecnológicas de boa reputação, mas nos esquecemos de utilizá-las adequadamente, introduzindo pontos fracos no esquema todo. De nada adianta ter boas ferramentas para controlar nosso ambiente se usamos senhas fracas, por exemplo, pois a fortaleza das ferramentas não vai adiantar nada diante da porta de papelão de uma senha fácil de deduzir.

A segunda razão é a utilização de ferramentas fora do padrão para nossa proteção. No caso do usuário doméstico isso pode ser traduzido da seguinte forma: apesar das análises apontarem de forma geral para as melhores soluções, tem muita gente que insiste em adotar outras, por qualquer motivo que seja. Os analistas e técnicos investem tempo e esforços preciosos para identificar as melhore soluções, mas indivíduo insiste em se achar o rei da cocada baianinha e opta por alguma ferramenta desconhecida. E, claro, acaba pagando caro por isso. Não se escolhe antivírus, por exemplo, porque a ferramenta tem um nome mais bonito, como eu já vi acontecer.

A terceira razão é o que o autor chama de “a ferramenta certa para o problema errado”. O raciocínio é que se não entendemos adequadamente os problemas a que estamos sujeitos, corremos o risco de adotar ferramentas — de outra feita muito boas — que não enderecem adequadamente a questão. No caso do usuário doméstico é acharmos que o antivírus ou o firewall pessoal são a panaceia que vai nos livrar de todos os males. Se assim agimos deixamos de perceber a verdadeira natureza dos problemas de segurança, e não estaremos protegidos quando as ameaças se fizerem presentes.

A quarta razão é o fator humano. A natureza humana é falha, e nós mesmos nos auto-induzimos ao erro mais cedo ou mais tarde, argumenta o autor. Em outras palavras, mais dia menos dia o usuário doméstico vai se por em perigo por seus próprios meios, sem necessitar de muita ajuda externa. Os ataques de phishing, por exemplo são são exatamente assim: o ciber-criminoso prepara a isca, mas somos nós que engolimos o anzol.

A quinta razão é a usabilidade. Não adianta ter soluções muito boas que exigem pós-doutorado para serem customizadas, ou que demandam horas e horas diárias de operação para serem efetivas. Podemos traduzir assim: se uma solução não é simples o suficiente, o usuário doméstico vai “desanimar” de utilizá-la.

Quando observo essas cinco razões para a tal da falha da segurança, não vejo razões primárias. Vejo cinco efeitos de uma razão mais básica. Que razão é essa que propicia todas as outras cinco citadas? Simples: falta ao usuário — doméstico ou corporativo — a educação adequada para saber se proteger, conhecer a importância dessa proteção e tomar a atitude correta quanto à mesma.

Sem a educação necessária o indivíduo vai criar por si mesmo elos mais fracos em sua corrente de proteção; sem a educação necessária o indivíduo não vai saber escolher ferramentas adequadas para sua proteção; sem a educação necessária o indivíduo vai achar que a tecnologia é a resposta, enquanto a verdadeira resposta é o seu preparo e os processos que ele adota; sem a educação necessária o indivíduo colabora e muito para que sua natureza falha dê o ar da graça e o ponha em risco; sem a educação necessária o indivíduo vai ser guiado só por sua ignorância e portanto vai achar qualquer ferramenta difícil demais para ser utilizada.

A educação é para a segurança — assim como para inúmeros outros fatores em nossa vida — o alicerce sobre o qual podemos construir estruturas estáveis. A falta desse alicerce fatalmente levará à ruína todos os nossos esforços, mais dia menos dia.

Ajude-nos a manter a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

As aplicações mais atacadas de 2009

2009 foi um ano “de ouro” para os hackers, que encontraram muitas vulnerabilidades em várias aplicações populares. Conheça “as campeãs” no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ver uma apresentação de slides das aplicações mais atacadas da Web, segundo a revista Forbes.

Para ler esse artigo, clique no botão abaixo.

A revista Forbes normalmente se preocupa com o intangível mundo dos multi-milionários, e foi uma surpresa bastante agradável ver um artigo sobre as aplicações mais atacadas de 209 recentemente na edição eletrônica. Vamos a elas.

O software mais atacado do ano foi o Adobe Acrobat Reader, utilizado por quase todos os usuários do mundo para ler arquivos em formato PDF. O famoso leitor subiu de 7 vulnerabilidades em 2007 para 14 em 2008, para 45 até o início de dezembro de 2009. Tem sido um alvo tão produtivo para os hackers que muitos analistas já estão dizendo que a Adobe está substituindo a Microsoft como empresa com software mais inseguro do mercado. As vulnerabilidades no Adobe Acrobat Reader permitem que o hacker que as explore consiga executar comandos no computador da vítima, dando controle desse computador aos malfeitores. Para se proteger — pelo menos das vulnerabilidades conhecidas até o momento — o usuário deverá ter a versão 9.2 instalada em sua máquina.

O Microsoft Internet Explorer vem em segundo lugar na lista, mais pela qualidade do que pela quantidade de vulnerabilidades. Algumas delas permitem a instalação de código malicioso no computador da vítima pelo simples fato de se visitar uma página comprometida. Foram 30 vulnerabilidades esse ano, o mesmo número de 2008, e uma redução considerável das 49 de 2007, o que demonstra que a Microsoft está fazendo sua parte para melhorar a qualidade do software. Para se manter seguro o usuário do Internet Explorer deve ter a versão 8 instalada em seu computador e também deve ativar as atualizações automáticas do Windows Update.

Em terceiro lugar veio o Mozilla Firefox, com 102 vulnerabilidades em 2009, subindo de 90 em 2008. Apesar do número astronômico, não dá para comparar com os 30 do Internet Explorer, uma vez que todos os erros de software, por mais insignificantes que sejam, são relatados pela Mozilla, em função do código ser aberto. Também em função do código aberto, o Firefox é muito mais escrutinizado pela comunidade, o que tende também a agilizar o processo de correção dos erros encontrados. A versão mais atual, com os problemas conhecidos já corrigidos é a 3.5.5.

Em quarto lugar veio o Adobe Flash Player. Essa aplicação teve nove vulnerabilidades descobertas esse ano, descendo de 19 no ano passado. O problema é que o Adobe Flash Player já tem permissão de execução de comandos, e se for atacado poderá instalar código malicioso no computador da vítima sem que ela saiba. A última versão disponibilizada para esse software, já com todas as correções necessárias aplicadas é a 10.0.

Em quinto lugar veio o Apple Quicktime, que é utilizado para executar arquivos de multimídia, tais como músicas ou filmes. A Apple costuma se gabar do baixo número de incidentes de segurança em seu software, mas o fato é que isso se deve à baixa penetração no mercado, e não à qualidade do software. Esse ano já foram 26 vulnerabilidades encontradas, contra 36 no ano passado. A versão 7.6.5 é a mais nova disponibilizada pela Apple, e a empresa também disponibiliza um mecanismo de atualizações automáticas para os usuários.

Em sexto lugar veio a suíte de aplicações de escritório mais popular do planeta, o Microsoft Office. Os aplicativos dessa suíte, o Word, o PowerPoint e o Excel, em especial, são alvos preferenciais dos bandidos, que utilizam os arquivos criados nesses aplicativos para disseminar códigos maliciosos. Esse ano já foram 41 vulnerabilidades encontradas, contra 44 no ano passado. Atualmente a versão do Office é a 2007, mas cada programa tem versões mais atuais com número diferente. O ideal é que o usuário utilize o Windows Update para automaticamente manter a suíte toda sempre atualizada.

Por fim, mas não menos importante, o sistema operacional Windows. Aqui a revista não faz alusão a nenhuma versão específica, apesar da imagem ser do Windows XP. Várias das piores pragas espalhadas pela Internet esse ano, incluindo o Conficker, vieram diretamente via sistema operacional, que continua sendo alvo preferencial dos bandidos. Aqui temos o caso mais crítico a justificar as atualizações automáticas do Windows Update. Elas vêm quase que diariamente, e não manter seu sistema operacional com o mais recente nível de atualização uma receita certa para o desastre.

Ajude-nos a manter a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

E começa a rolar a bola dos golpes...

A Copa do Mundo de 2010 ainda demora mais de seis meses para começar, mas os golpistas já estão sem antecipando. Ouça no artigo de hoje.

Audio via YouTube.


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias).

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de François Paget, da McAfee.

Para ler esse artigo, clique no botão abaixo.

No artigo de 20 de novembro, intitulado Previsões de ameaças para 2010 mencionei que um dos golpes que deve “fazer sucesso” na próxima temporada é aquele voltado para tirar vantagem da Copa do Mundo da África do Sul. Pois bem, um artigo recente de François Paget publicado no blog da McAfee mostra que os bandidos resolveram adiantar o expediente e começar a aplicar seus golpes agora mesmo, só tendo esperado o sorteio das chaves ocorrido na sexta-feira, 04 de dezembro.

Desde então a McAfee já identificou quatro golpes diferentes, todos tentando lucrar em cima do maior evento esportivo do próximo ano. Vamos aos golpes e às sugestões de como evitá-los.

O primeiro golpe é uma variação do golpe nigeriano da fortuna. Nessa versão a vítima recebe uma mensagem da Associação Sul-Africana de Futebol informando que foi a contemplada em um sorteio com a quantia nada modesta de US$2.500.000,00. Para receber essa dinheirama toda, só precisa depositar uma pequena quantia na conta dos bandidos, digo, da Associação Sul-Africana de Futebol e esperar para ficar rico. Esperar sentado, claro, pois a única coisa que vai chegar é a depressão por ter caído num golpe tão velho quanto a própria Internet. Como evitar esse golpe? Basta colocar um dos neurônios para funcionar e perceber que ninguém dá dois milhões e meio de dólares num sorteio no qual nós nem sequer entramos.

O segundo tipo de golpe é até interessante. Os bandidos oferecem um serviço de pay-per-view dos jogos da Copa do Mundo através do computador. O site desse golpe é razoavelmente bem feito, e o usuário paga para baixar um tocador de vídeo em seu computador. É através desse tocador proprietário que os jogos serão supostamente exibidos, mas depois de pagar o valor exigido, a única coisa que é baixada é um antivírus falso que vai exigir mais dinheiro da vítima para supostamente “limpar” o computador. Lembra do “scareware” do artigo intitulado A praga congelante? Pois então, é ele mesmo. Como evitar esse golpe? Esse é fácil: todas as promoções de pacotes especiais de exibição — quando existirem — serão anunciadas no site da FIFA. Ninguém a não ser a FIFA e as emissoras de TV paga poderão oferecer serviços de exibição, e ponto final.

O terceiro golpe é para aqueles que se sentem culpados por não fazerem nenhuma atividade de voluntariado e resolvem dar dinheiro para entidades que fazem esse tipo de ação social. Trata-se do site de um suposto clube que dá apoio a técnicos de futebol para times de crianças carentes. Você acha que está fazendo uma boa ação com sua carteira enquanto na verdade está alimentando os bandidos. Como evitar? Também é simples: o melhor voluntariado é aquele que fazemos com nosso próprio tempo e com nosso próprio esforço. Ah, você realmente não tem tempo e acha que seu dinheiro pode ajudar? Bem, na verdade pode, mas há inúmeras entidades tradicionalmente conhecidas por usar bem o dinheiro dos contribuintes. Melhor contribuir com uma delas se for esse o caso. De qualquer forma, desconfie das novas entidades que surgem nessa época tentando capitalizar em cima do evento.

O último golpe é o que certamente vai dar mais lucro aos bandidos: a venda de ingressos falsificados. A FIFA já tem tabelas de valores para todos os jogos da Copa, e apenas aquela entidade e as agências de viagem cadastradas têm o direito de vender ingressos. Qualquer outro que tente vender ingressos estará vendendo papel impresso a preço de ouro. Como evitar esse golpe? Faça uma pesquisa séria antes de comprar seus ingressos, e lembre-se de que não há o menor motivo para que alguma entidade se disponha a fazer liquidações, uma vez que todos serão vendidos bem antes de a Copa começar.

É isso: o melhor é ficar esperto desde agora, pois esses ataques devem aumentar em volume e em sofisticação daqui até Copa, como avisa o próprio François Paget.

Bom fim de semana e até a próxima.

A nova privacidade do Facebook

O Facebook acaba de melhorar suas configurações de segurança, oferecendo mais privacidade aos usuários. Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Farhad Manjoo, na revista Slate.

Clique aqui para ler o artigo de Joe Fay, no The Register sobre a privacidade no Facebook.

Para ler esse artigo, clique no botão abaixo.

Segundo um artigo recente do jornalista Farhad Manjoo na revista Slate, o site de relacionamento que mais cresce no mundo é o Facebook. Com 350 milhões de usuários no mundo todo e com 600.000 novos usuários entrando diariamente, o Facebook é uma potência, e nem mesmo outras novidades “quentes” da Web, tais como o Twitter, vêm conseguindo reduzir o crescimento expressivo dessa rede social.

Com tanta gente partilhando dados, fotos e notícias pessoais, é natural que a preocupação com a privacidade dos usuários cresça e torne-se tema central para quem tem um perfil no Facebook. Ou pelo menos deveria ser para o usuário que preza por sua segurança.

Pois justamente no sentido de melhorar e simplificar a segurança do usuário o Facebook acaba de remodelar a página de ajustes à privacidade. Depois de muitas reclamações de que o controle era muito rígido — ou impedindo qualquer compartilhamento de segurança, ou abrindo demais as informações publicadas para estranhos — os administradores do site decidiram pela mudança, que entrou em funcionamento essa semana.

Essa é uma boa notícia, sem dúvida, mas como toda ferramenta de segurança, não é a solução de todos os males. Como eu sempre digo aos meus alunos no primeiro dia de aula, as ferramentas de segurança são ótimos assistentes, que se bem utilizados vão ajudar na manutenção da segurança de quem as adota. Eu sempre adiciono que a ênfase deve ser dada aos termos “se bem utilizados” e “ajudar”. Não adianta nada ter cinto de segurança no carro e não utilizar, não é verdade? Ou ainda, não adianta nada usar cinto de segurança e sair por aí dirigindo bêbado.

Mas voltando ao Facebook, se você tem um perfil naquele site está na hora de visitar a página de privacidade e escolher os ajustes que melhor se adequem às suas necessidades. A escolha desses ajustes não demora dois minutos, e o usuário pode escolher quem vai ver seus dados, se todo mundo, se só seus amigos, se os amigos dos amigos ou se um grupo arbitrário definido pelo próprio usuário. Aproveitando o ensejo, muito cuidado quando escolher a opção “amigos dos amigos”. Se você não quer que uma pessoa tenha acesso a uma informação que você publica, mas essa pessoa está na lista de amigos de um amigo seu, essa opção estende suas informações até o indivíduo indesejado.

Essas medidas novas de proteção à privacidade vêm em um momento bem oportuno, pois o Facebook está aumentando suas parcerias com sites de notícias, de compras e outros portais na Web. Isso significa que um comentário feito pelo usuário em uma notícia no Yahoo, por exemplo, poderá ser visto a partir da página desse usuário no Facebook. Ou seja: cada vez mais estaremos expondo nossas opiniões e dados no Facebook.

Em função dessas novidades o Facebook está anunciando a torto e a direito que melhorou a privacidade dos usuários, mas o fato é que para que isso seja verdade o usuário vai ter que tomar a ação de ajustar por si mesmo sua privacidade. O site de relacionamento está fazendo sua parte, e agora é a hora de cada um de nós fazermos a nossa. Até porque o Facebook não vai parar por aí: segundo o jornalista Joe Fay, do The Register, a empresa vai criar peças educativas para ensinar os usuários a cuidarem melhor de sua privacidade. Será ainda mais um recurso à disposição de todos nós, e mais um que dependerá de nossa ação para funcionar.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Estatísticas sobre golpes de phishing

Um estudo recente mostra algumas estatísticas interessantíssimas sobre os ataques de phishing. Ouça no artigo de hoje.

Audio via YouTube


Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias)

Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o estudo completo da Trusteer (PDF).

Para ler esse artigo, clique no botão abaixo.

Agora no início de dezembro a Trusteer, empresa americana de segurança, publicou um relatório contendo dados sobre um estudo acerca dos golpes de phishing na América do Norte e na Europa. Ao longo de três meses em 2009 a empresa coletou dados utilizando plugins instalados nos computadores de usuários participantes da pesquisa, e extrapolo os dados para os clientes de banco dos países e regiões pesquisadas. Os resultados são interessantes e surpreendentes, devendo servir de alerta para usuários domésticos do Brasil, onde resultados para uma pesquisa semelhante não devem ser muito diferentes.

O primeiro dado interessante é que um a cada 177.000 clientes que recebem mensagem de um ataque de phishing vai de fato clicar nos links oferecidos por essa mensagem. Um número pequeno, sem dúvida, mas se considerarmos uma média de 832 ataques desse tipo por banco todo ano, essa estatística já cresce para um a cada 213 usuários levados a clicar em links falsos.

O segundo dado alarmante é que 45% dos usuários levados a clicar em links falsos vão entregar de bom grado suas informações para os bandidos, sendo lesados em seu saldo bancários posteriormente em decorrência do ataque que virá. Isso significa que um a cada 474 usuários vai perder dinheiro com ataques de phishing no ano de 2009. Penso que esse seja um número bastante expressivo, ainda que pequeno.

Principalmente se considerarmos que as perdas para cada um milhão de clientes variam entre US$2,4 milhões e US$9,4 milhões. Se a chance de cairmos nesse tipo de golpe ainda pode ser considerada pequena, os valores perdidos por cada vítima certamente não são. Isso porque pela metodologia empregada pela Trusteer a pesquisa só foi feita com clientes do tipo pessoa física, sem incluir clientes empresariais, que tendem a ter mais dinheiro em conta. Ou seja: as perdas são significativas para boa parte das vítimas.

Segundo Ami Klein, executivo da Trusteer, os dados oferecem indícios fortes de que os esforços para educar a população sobre os golpes de phishing não estão funcionando adequadamente. E isso apesar de o problema com esse tipo de golpe já ser considerado grave tanto nos EUA quanto na Europa.

Aqui no Brasil, para variar, não temos estatísticas confiáveis ou abrangentes sobre esse problema. E os esforços para educar a população sobre as questões de segurança simplesmente não existem por parte do governo. Como eu venho dizendo já há algum tempo, nosso país ainda não é alvo preferencial desse tipo de golpe, mas quando se tornar — e aposto que ainda vai se tornar — os efeitos só não serão piores porque nosso saldo médio em conta é consideravelmente menor que no caso de nossos “primos ricos” do Hemisfério Norte. Quem for esperto, que trate de se precaver.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Alguns golpes natalinos

Alguns golpes via Internet são bem característicos da época do Natal, e é bom conhecê-los e saber como evitá-los. Ouça como no artigo de hoje.

Audio via YouTube:


Audio via Odeo (arquivo disponível só durante alguns dias):

Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler a lista dos 12 golpes mais comuns na época do Natal publicada pela revista PCWorld.

Para ler esse artigo, clique no botão abaixo.

A revista PCWorld publicou recentemente uma lista com doze golpes que os autores consideram comuns nessa época, aproveitando o clima natalino.

Vários deles já foram mencionados aqui, mas alguns valem a pena ser comentados justamente por trazerem elementos novos ao cenário dos ataques virtuais. Vamos a eles e às soluções que nos protegerão de seus efeitos indesejáveis.

Phishing beneficente. O phishing, como já comentamos, é um ataque em que a vítima recebe uma mensagem que parece ser oficial e pede uma ação, que sempre vai resultar em dano para quem a tomar. Os dois tipos de phishing que já comentamos são baseados no medo ou na ganância. O ataque de phishing baseado no medo tenta coagir a vítima com ameaças, tais como contas em aberto ou multas iminentes. Esse golpe natalino tem a novidade de pegar o usuário pelo coração mole. As mensagens vêm com pedidos de ajuda para crianças carentes ou desabrigados em função de alguma calamidade climática. E o usuário, mais propenso a ajudar na época de Natal, corre o risco de entregar seu dinheiro a golpistas, e não a necessitados. Para evitar esse tipo de golpe, lembrar que mesmo durante uma boa ação não podemos deixar de ter cautela. Verificar por outros meios que não a Internet se a instituição é mesmo idônea antes de fazer a doação é a melhor forma.

Ofertas tentadoras. Golpistas aproveitam o período de compras para criar sites falsos com ofertas tentadoras de produtos de alto luxo. Marcas tais como Gucci e Chanel são oferecidas com descontos mirabolantes. Aqui a vítima é pega pela ganância, pura e simplesmente. Espera uma pechincha e na melhor das hipóteses leva gato por lebre. No pior dos casos, perde seu dinheiro e fica de mãos abanando. O que é importante considerar é que marcas de alto luxo não usam liquidações em suas estratégias comerciais. Ninguém nunca teve notícia de uma Ferrari ser vendida por “preço de ocasião”. Aliás, nem nunca vai ter, a menos que o dono do carro tenha algo de muito errado a esconder sobre si mesmo ou sobre o próprio veículo. Tais produtos estão no mercado em busca de quem não se preocupa com preço, e tais pessoas veem com maus olhos quando seus objetos de desejo — inatingíveis para os “meros mortais” — são anunciados com descontos. As empresas, claro, sabem que vale mais a pena cobrar muito de alguns poucos do que popularizar seus produtos. Nesse caso, para fugir do golpe basta ter um pouco de bom senso e ser realista: se uma oferta parece boa demais para ser verdade, certamente é.

Sites com itens natalinos. Alguns golpistas se aproveitam do interesse dos usuários por temas natalinos para seus computadores pessoais e celulares. Os bandidos aproveitam para criar sites com pacotes instaláveis que já trazem vários desses temas, mas tais pacotes podem vir infectados com todo tipo de código malicioso. O ideal para quem quiser empetecar seu computador é procurar os badulaques nos sites oficiais, como na Microsoft ou no site do fabricante de seu celular.

Leilões on-line. Os sites de leilão on-line, tais como o MercadoLivre ou o e-Bay, costumam atrair golpistas, que nessa época do ano encontram mais facilidade para enganar os “marinheiros de primeira viagem”. Comprar via mecanismo de leilão é geralmente seguro e barato, porém o usuário que deseja comprar assim deve ficar de olho na reputação dos vendedores. Todos os sites têm sistemas de pontuação e áreas de depoimento em que pessoas que já compraram daquele vendedor expressam sua opinião sobre a transação e atribuem uma nota para a mesma. É necessário que o usuário que vá comprar de uma pessoa invista um tempo em avaliar a reputação do vendedor antes de dar o lance. E o mesmo aviso quanto a produtos falsos vale para o que estão vendendo. É muita ingenuidade imaginar que se vai comprar um pendrive legitimo de 64GB de capacidade por R$30,00 quando o mesmo produto é vendido em lojas oficiais por US$150,00, não é mesmo?

A lista completa da PCWorld é muito útil e traz outras dicas bastante importantes para o usuário doméstico. Ela pode ser encontrada na sessão de links desse artigo.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Novo formato dos artigos em áudio

Em primeiro lugar, perdão pelo atraso na publicação do artigo de hoje. Como explico logo abaixo, foi por uma boa causa (penso eu).

Depois de vários ouvintes perceberem que o serviço gratuito do Kiwi6 não é lá muito confiável, "perdendo" alguns dos arquivos lá armazenados, decidi adotar uma estratégia diferente para disponibilizar os artigos em áudio.

Como vocês podem perceber no artigo de hoje, passo a utilizar o YouTube para disponibilizá-los, o que deve garantir a disponibilidade de forma permanente.

Aliás, foi justamente pelo fato de ainda não ter dominado o processo de gravação e disponibilização de material no YouTube que demorei um pouco mais para colocar o artigo de hoje no ar.

Estou ciente de ainda estar "devendo" os arquivos em forma de podcast no iTunes, mas prometo que esse assunto ainda está na pauta. Vamos ver se agora no recesso de Natal e Ano novo consigo fazer isso.

Caso tenham comentários e sugestões sobre o novo formato, ficarei feliz em recebê-los e acomodar as sugestões na medida do possível.

Os domínios mais perigosos da Web

Uma pesquisa da McAfee mostra os domínios mais perigosos da Web no ano de 2009. Ouça no artigo de hoje.



Clique aqui para ver o relatório completo da McAfee.

Para ler esse artigo, clique no botão abaixo.

A McAffe, uma das principais fornecedoras de soluções de antimalware do mundo publicou recentemente a terceira edição de sua pesquisa anual “Mapeando os perigos da Web”.

Este estudo anual visa avaliar os perigos da Internet sob o ponto de vista dos domínios, isso é, do tipo de site (“.com”, “.org”, etc.) ou o país onde o site foi registrado. Nesse segundo caso, o “.br” ao final de uma URL indica que o site foi registrado no Brasil. Esse tipo de avaliação é muito útil para o usuário doméstico porque dá uma dimensão da probabilidade de o site que se quer visitar trazer ameaças para nós e para nosso computador.

Por exemplo, se estamos interessados em visitar uma página registrada no Japão, ou seja, com final em “.jp”, o risco ponderado de encontrarmos uma página com código malicioso nesse caso é de 0,3%. Já se o destino pretendido é uma página na República dos Camarões, com final “.cm”, o risco ponderado é de 36,7%. Esses dois países encontram-se nos dois opostos da lista da McAfee, sendo que o Japão tem os domínios mais seguros e a República dos Camarões tem os domínios mais inseguros. É interessante observar que os bandidos procuram seus domínios com base em 3 características: preço do registro, facilidade de registrar vários domínios de uma vez e domínios em países que não façam perguntas demais. Claro, querem pagar barato para lucrar alto; querem registrar vários endereços, pois sabem que apenas uns poucos deles serão bem-sucedidos em enganar os usuários; e querem aplicar seus golpes sem que nenhuma autoridade coloque empecilhos.

O curioso sobre os domínios registrados na República dos Camarões é que os domínios “.com” — de endereços comerciais registrados nos EUA — são facilmente mal digitados como “.cm”. Quando o usuário quer ir ao site de compras da Amazon e erroneamente digita www.amazon.cm ao invés de www.amazon.com, por exemplo, é levado a uma página com péssima reputação, segundo o plugin Web of Trust, do Firefox. E como os bandidos encontram muita facilidade para registrar domínios naquele país, além de preços baixos e baixa exigência de informações de quem está fazendo o registro, o “.cm” torna-se um prato cheio para que quer aplicar golpes de phishing ou esconder código malicioso em páginas supostamente oficiais.

Na lista domínios arriscados da McAfee temos uma boa notícia para os domínios registrados no Brasil, isto é, terminados em “.br”. Do ano passado para cá o risco ponderado desses domínios caiu de 0,8% para 0,7%, e hoje ocupamos “apenas” a posição de número 70, em 104 domínios pesquisados. Isso significa duas coisas interessantes: em primeiro lugar significa que os órgãos responsáveis pelo registro de domínios no Brasil estão fazendo um bom trabalho na hora do registro, criando barreiras contra os golpistas. Significa também que as empresas e pessoas que criam e registram seus sites por aqui estão cuidando cada vez mais da segurança, Ou seja: tem muita gente fazendo sua parte, sendo que a nós usuários é requisitada a atenção e o cuidado de sempre para que não caiamos nas inúmeras armadilhas que ainda infestam a Internet.

Até porque, segundo essa mesma pesquisa da McAfee, o número de malwares novos “soltos” pela Internet cresceu tanto que só na primeira metade de 2009 é quase igual ao mesmo número para todo o ano de 2008. São os próprios autores do relatório que aconselham o que vivo dizendo aqui no 5 Minutos de Segurança desde o princípio: devemos, sim, “usar a Web amplamente, mas de modo sábio”. Recursos — tais como esse relatório da McAfee — que nos ajudam a melhorar nosso “índice de sabedoria” estão à disposição de quem quiser se proteger.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Segurança para pendrives, parte 2

Pendrives são muito práticos e bastante utilizados para transporte de arquivos. Contudo, apresentam muitos problemas de segurança. Ouça a segunda parte desse artigo.


Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui ir à página do USB Firewall (tradução pra o português via Google).

Para ler esse artigo, clique no botão abaixo.

Terminei a primeira parte desse artigo ontem dizendo que as dicas que passei endereçam o problema do pendrive transmitindo vírus para o computador, mas faltou falar algo de importante.

Além de desabilitar a execução automática de seu computador e limpar os arquivos ocultos e protegidos não autorizados por você, existe algo mais que pode ser feito para o caso de o código malicioso ainda tentar se executar quando você mesmo executar alguma ação no pendrive. Existe um pequeno software gratuito chamdo “USB Firewall” que atua como barreira entre seu computador e o pendrive. Toda vez que algum software tentar ser executado a partir do pendrive, o USB Firewall instalado em seu computador para o processo e avisa o usuário. Se tudo estiver certo, basta dar continuidade. Do contrário, é só cancelar a execução. O USB Firewall ainda permite que você exclua o software que ele detecta, caso você identifique o mesmo como sendo malicioso. O link para esse software está na seção de links desse artigo.

Bem, agora sim podemos olhar o assunto pelo outro lado: o lado da infecção do pendrive pelo computador.

Como o Sérgio já descobriu, os aplicativos instalados no pendrive que juram impedir que software seja instalado no mesmo sem consentimento do usuário, infelizmente não são eficazes. O único mecanismo eficaz para evitar que o computador insira algum código em seu pendrive sem que você saiba, é usando um pendrive com chave de travamento. Há pendrives no mercado que contém uma pequena chave física de proteção contra escrita, e o ideal é que a mesma esteja sempre na posição de proteção quando a gente usa o pendrive em computadores alheios. O fabricante de pendrives RiData, por exemplo, tem modelos de várias capacidades com essa característica. Quando a chave está na posição de proteção e o computador tenta escrever algo no seu pendrive, uma mensagem de erro avisa que não foi possível concluir a ação. O ideal é que o procedimento adotado pelo usuário seja o de não usar o pendrive para gravar nada fora de seu computador e deixar o pendrive sempre protegido quando for passar algum arquivo para o computador de outra pessoa.

Mas é claro que sempre vai haver a necessidade de copiar um arquivo de algum computador não confiável para o seu pendrive, não é mesmo? Minha sugestão nesse caso é sempre usar um pendrive “cobaia”. Um pendrive que só vai ser usado nesses casos. Esse pendrive não precisa nem ter a chave de proteção, já que só vai ser usado para receber arquivos. E o correto é considerar esse pendrive sempre como estando infectado após usá-lo no computador de outra pessoa, independente de quem seja. Assim você não se surpreende, claro. Após usar o pendrive num computador alheio, insira-o no seu computador. É claro que nesse ponto você já desabilitou o mecanismo de execução automática no seu computador, certo? Assim se garante que não será infectado só por conectar o pendrive. A partir daí, é só rodar todos os seus aplicativos antimalware no pendrive, e aplicar o método de Kapoor (mostrado no artigo de ontem) para identificar se nada de estranho ficou instalado no mesmo. Pronto, seu pendrive cobaia está limpo e pronto para buscar arquivos de outros computadores (e ser infectado no processo, logicamente).

Resumindo, o caminho para se livrar das pragas transmitidas via pendrive são: desabilitar a execução automática de dispositivos móveis; limpar o pendrive de códigos ocultos e protegidos não autorizados por você; instalar um software de proteção em seu computador tipo USB Firewall; usar um pendrive com proteção contra escrita para passar documentos para computadores alheios; e finalmente usar um pendrive de cobaia que você vai assumir estar sempre infectado para trazer arquivos para seu computador. Esse conjunto de atitudes deve ajudar bastante a proteger o computador do usuário que quer aproveitar a conveniência enorme provida pelos pendrives.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Bom fim de semana e até a próxima.

Segurança para pendrives, parte 1

Pendrives são muito práticos e bastante utilizados para transporte de arquivos. Contudo, apresentam muitos problemas de segurança. Ouça um pouco a esse respeito no artigo de hoje.


Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler as instruções de Madhur Kapoor sobre como identificar e remover vírus manualmente do pendrive.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Sérgio enviou o seguinte questionamento:

“Sou professor universitário e tenho constantemente que colocar meu pendrive em várias máquinas que não são lá muito confiáveis. Assim, a infecção por vários tipos de malware é quase inevitável. Como fazer para solucionar esta situação? Já procurei por algum software que impedisse escrita no pendrive, mas não funcionou. Qual é a melhor solução? O quê você indica?”

Bem, Sérgio, a questão da segurança em dispositivos móveis de armazenamento é um tanto quanto complexa, mas muito importante. Antes de mais nada, obrigado por trazer o assunto à nossa pauta.

É inegável que esses dispositivos — entre os quais encontramos os pendrives, as memórias flash e os HDs portáteis — sejam muito práticos, e auxiliem muito o usuário no transporte de seus arquivos. Mas justamente esta portabilidade torna esses dispositivos o alvo perfeito para os hackers espalharem códigos maliciosos de vários tipos. É uma volta ao método mais antigo de dispersão de código malicioso em computadores pessoais, aliás. No tempo do PC a lenha, muito antes da Internet, os vírus se espalhavam através dos disquetes, que eram a única forma de transporte de arquivos. Em essência os dispositivos móveis de armazenamento como os pendrives são idênticos aos disquetes, com a diferença sendo o tamanho várias ordens de grandeza maior. Hoje em dia usamos os pendrives quando o tamanho dos arquivos impede o transporte via Internet e para fazer backup de nossos arquivos, sendo bem óbvia a eficiência dos mesmos nesses quesitos.

Infelizmente muitos vírus são especializados em identificar quando um desses dispositivos é conectado ao computador e em gravar código malicioso nos mesmos. Aí, quando o dispositivo é transportado para outro computador, se os cuidados não são tomados nessa nova máquina, o código malicioso se transporta para a mesma, dando sequência à ciranda da infecção.

A primeira questão interessante nesse mecanismo é a seguinte: como é que um vírus pode sair do dispositivo móvel e entrar no computador simplesmente pelo fato de ser conectado? A resposta é simples: existe um mecanismo nos sistemas operacionais da Microsoft chamado “Autoplay”, que busca um arquivo no pendrive chamado “Autorun.inf” e o executa. Quando conectamos um pendrive no computador, abre-se uma janela com várias opções do que fazer com ele. Se clicarmos em qualquer dessas opções ao invés de simplesmente fechar a janela, estaremos usando o mecanismo de “Autoplay” e rodando o arquivo “Autorun.inf”. Aqui já fica uma primeira dica de segurança para evitar pragas que chegam ao computador através de mídias móveis, ou seja, pendrives, cartões flash, CDs, DVDs, etc.: desabilitar o recurso de Autoplay no Windows. Se seu Windows é em português, o recurso chama-se “Execução Automática”. É óbvio que essa atitude nos deixa sem a conveniência da execução automática de um CD de música assim que o inserimos no computador, por exemplo, mas a vantagem em termos de segurança é enorme. Sem executarmos o “Autorun.inf” do pendrive, o código malicioso que porventura esteja lá não será executado, e nosso computador estará livre daquela praga.

O usuário poderá perguntar nesse momento: “ué, olhei o conteúdo do meu pendrive e não tem Autorun.inf. Estou livre de vírus nele, então?” Não necessariamente. Vários códigos maliciosos mudam a característica do “Autorun.inf” para “arquivo de sistema”, o que o torna invisível e inapagável pelas vias normais. O consultor indiano Madhur Kapoor descreve um conjunto de instruções que permite a identificação dos arquivos escondidos e sua eliminação do pendrive, e o link para essas instruções está na seção de links desse artigo.

Essas considerações endereçam o problema do pendrive que traz vírus para o computador. Mas e o contrário? Como fazemos para evitar que o computador infeccione nosso pendrive, como perguntou o Sérgio? Bem, como o assunto é longo, falamos disso no artigo de amanhã.

Até a próxima.

Uma técnica nova de infecção

Os criadores de uma vertente do cavalo de troia Zeus acharam mais um jeito de enganar o usuário e instalar essa praga em computadores nos EUA. Ouça como no artigo de hoje.


Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler uma descrição do ataque feita pela pesquisadora Mary Grace Gabriel, da Computer Associates.

Clique aqui para ler a carta do IRS (Receita Federal dos EUA) negando a autoria do e-mail.

Para ler esse artigo, clique no botão abaixo.

Uma nova técnica de distribuição de software malicioso acaba de ser identificada nos EUA pela Computer Associates, empresa fornecedora de soluções de segurança. A engenheira Mary Grace Gabriel, pesquisadora da empresa, publicou a “receita” em seu blog, e uma olhada com mais detalhes será útil ao usuário brasileiro, ainda que não sejamos alvo desse ataque específico. Isso porque mutações do mesmo são bem possíveis de aportar em nossas praias tupiniquins, com variações mais ao gosto do usuário desavisado do Brasil.

Tudo começa com o usuário recebendo uma mensagem do IRS, que equivale à nossa Receita Federal. Na mensagem, um aviso de que um cálculo foi feito com os valores devidos e pagos pelo destinatário e o resultado foi um saldo positivo de pouco mais de setecentos dólares. Para receber esse dinheiro o destinatário da mensagem deve preencher um formulário on-line na página cujo link encontra-se no corpo do e-mail. Ao clicar o usuário é levado a uma página supostamente em branco, e depois de esperar um pouco e se frustrar bastante, o usuário desiste e segue em frente com seus afazeres. Infelizmente, só o fato de clicar no link e ser levado para uma página em branco já foi suficiente para se infectar com o Zeus, um cavalo de troia especializado em coletar informações de acesso a sites de banco e fazer transferências de dinheiro para contas pertencentes aos bandidos. Essa praga, também conhecida como Zbot tem sido responsável por enormes prejuízos na América do Norte e na Europa nos últimos meses, e essa é a primeira vez que o usuário não é levado a instalar por suas próprias mãos a praga em seu computador: só o clique já basta para o Zeus ser descarregado e instalado. Isso significa que com um pouco de imaginação, inúmeras variações desse golpe são possíveis, o que implica no crescimento do perigo, pelo menos a curto prazo.

É claro que o IRS já soltou uma nota avisando o óbvio: que nunca inicia o contato com o contribuinte via e-mail, mas uma variação que use o endereço de um conhecido seu mandando uma mensagem te chamando para ver um site interessante vai fazer o mesmíssimo efeito, sem implicar nenhum órgão oficial.

Uma boa notícia é que alguns serviços de correio eletrônico — o GMail, por exemplo — já conseguem identificar variações desse golpe e jogam as mensagens para a caixa de “spam”. Os antivírus também já estão capacitados para barrar todas as variações conhecidas do Zeus, mas alertam para o fato de haver sempre algum tempo entre a identificação de uma nova vertente e a disponibilização da mesma na base de dados de identificação no computador dos usuários. Em outras palavras: o cuidado por parte do usuário é sempre parte integrante de qualquer bom arsenal de ferramentas de segurança.

No mais, as velhas dicas do 5 Minutos de Segurança sempre são válidas: órgãos governamentais não se comunicam em caráter oficial via e-mail; a ganância do usuário (que espera receber uma bolada, assim, de uma hora para outra) é ferramenta útil sim, mas ao bandido e a minha preferida “antes de clicar, raciocine”.

Fico feliz pelo fato de o Zeus ainda não ter causado estragos no Brasil, e mesmo diante da ameaça futura, creio que não haja motivo para sensacionalismo ou para pânico. Ainda assim, penso que os exemplos fornecidos por Estados Unidos e Alemanha, só para ficar em dois que já sofreram muito com esse cavalo de troia, sejam eloquentes no sentido de nos alertar para que estejamos sempre de olhos abertos.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na seção de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Como os bandidos atacam sua senha

A Microsoft descobriu coisas interessantes sobre roubo de senhas, preparando um servidor especialmente para ser atacado pelos bandidos. Ouça no artigo de hoje.


Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ver o relatório do projeto de honeypot de ataques a senhas realzado pela Microsoft.

Clique aqui para testar se uma sequência é forte o suficiente para servir de senha.

Para ler esse artigo, clique no botão abaixo.

Em outubro falei sobre uma avaliação da Acunetix, que tirou conclusões interessantíssimas sobre as senhas vazadas de dez mil endereços de e-mail do Hotmail. Um dos achados da empresa, por exemplo, foi que as senhas mais comuns são “123456” e “12345678”.

Pois bem, a Microsoft acaba de publicar os resultados de um estudo complementar àquele, estudo esse no qual a empresa usou uma técnica bastante útil e profissional para descobrir dados dos bandidos virtuais. Trata-se do uso de um “honeypot”, ou “pote de mel”, que é um computador ligado à Internet sem proteção, mas com muita monitoração, cujas violações e tentativas são catalogadas e não causam dano real.

O “honeypot” da Microsoft era composto de um falso servidor de FTP, e o objetivo do mesmo era coletar dados de ataque dos bandidos que tentavam descobrir usuários e senhas válidas para poder roubar dados que pensavam estar armazenados no servidor falso. Esses bandidos utilizam técnicas de “força bruta”, isto é, tentam o máximo número possível de nomes de usuários e senhas até acharem um par que dê acesso de entrada no servidor. Durante dois meses a Microsoft coletou dados desses ataques, e os resultados devem servir de alerta aos usuários domésticos.

Em primeiro lugar, entre os nomes de usuário mais tentados encontram-se “administrator” e “admin”. No caso dos sistemas implantados no Brasil, eu também adicionaria “administrador”, que é o termo em português. Além desses, os bandidos também tentaram nomes comuns em inglês, como “andrew”, “dave”, “steve”, “paul” e “adam”, que também são nomes bastante comuns em inglês. Fica como aviso para quem tem nome comum em português e o utiliza na hora de se cadastrar num sistema qualquer. O relatório alerta para o fato de que se um sistema não trava após um número fixo de tentativas erradas (em geral três é o limite para sistemas com esse tipo de mecanismo), então se o bandido descobre o nome do usuário, isso já é meio caminho andado para que consiga sucesso no ataque. Se seu nome de login é fácil de ser deduzido, a sugestão é para que você se preocupe e muito com a criação de uma senha que não seja trivial. Um dos bandidos tentou mais de 400.000 combinações de usuário e senha. Pense no seu caso hoje e decida se um pilantra com tempo de sobra conseguiria descobrir seu usuário e senha em 400.000 tentativas. Conheço vários usuários que não exigiriam nem 400 tentativas, que dirá 400.000.

O estudo da Microsoft aponta ainda para um link muito útil: uma página de teste de senhas, em que o usuário coloca uma sequência candidata a senha e a robustez da mesma é testada imediatamente. Vale a pena tentar, para descobrir se aquela composição de letras, números e caracteres especiais é considerada forte. E ao fazer isso, mantenha em mente que a maioria das senhas testadas no “honeypot” da Microsoft tinha tamanho 8 ou menor.

Em suma, esse estudo da Microsoft é mais um eloquente aviso de que precisamos tomar muito cuidado com a composição de nossas senhas. Outros virão, com certeza, mas que vantagem há em esperar pra tomar uma atitude?

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na seção de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Um ranking de anti-spams

Quais as melhores opções de aplicativos anti-spam para usuários domésticos do mercado? Ouça no artigo de hoje.


Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ver o ranking de 10 pacotes de anti-spam realizado pela Top10 Reviews.

Para ler esse artigo, clique no botão abaixo.

Existem vários pacotes de anti-spam disponíveis no mercado, todos se propondo a eliminar o lixo eletrônico de nossas caixas de entrada sem que esse nos incomode, e sem levar embora mensagens importantes junto com o lixo. No início do ano a Top10 Reviews realizou uma pesquisa para chegar aos dez principais pacotes de anti-spam do mercado, e como resultado avaliou e ranqueou excelentes aplicativos que desempenham essa função.

Será que todos nós precisamos investir em aplicativos de anti-spam? Provavelmente não. Muitos provedores de correio eletrônico já fazem filtragem de spam “na fonte”, issi é, em seus próprios servidores, passando às nossas caixas de entrada um conteúdo previamente selecionado, e com um grau muito bom de precisão. Ou seja, antes de investir num pacote desses o usuário deve perguntar ao seu provedor de serviços que tipo de filtragem de spam os serviços contratados já incluem. E mesmo que já haja algum mecanismo em funcionamento, o usuário deverá se perguntar se o spam ainda é um problema. Nos dois casos, isso é, se o provedor não tem mecanismo próprio anti-spam ou se mesmo tendo o usuário se sente incomodado com o lixo eletrônico, o ideal é investir em uma ferramenta. O que o usuário vai economizar de tempo e de fígado certamente será compensador. Até porque as ferramentas não custam caro em face ao benefício que trazem. No ranking da Top10 Reviews, o pacote mais barato custa US$19,95 (e não é o último no ranking), enquanto o mais caro custa US$39,95 (e não é o primeiro do ranking). Ou seja, ao preço do dólar de hoje, gastando menos de R$80,00 o usuário se livra de uma baita praga.

Quanto ao comparativo, o vencedor da medalha de bronze foi o SPAMfighter Pro, que tem como ponto alto a facilidade de uso e a capacidade de importar os contatos do usuário diretamente do aplicativo de correio eletrônico, criando automaticamente a base para uma lista branca de remetentes. O pacote peca um pouco por ser limitado nas customizações que permite ao usuário, o que pode gerar um número maior de falsos negativos ou de falsos positivos, dependendo da configuração adotada.

A medalha de prata ficou por conta do CA Anti-SPAM Plus, que tem a seu favor o site da CA, que interage com a ferramenta para barrar além das mensagens indesejadas, os ataques de phishing. Além disso, permite que o usuário gere relatórios estatísticos com os tipos de spam barrados. A customização limitada também é um problema para esse pacote, o que da mesma forma que o anterior, afeta a precisão das detecções.

A medalha de ouro do ranking ficou com o SPAM Eater Pro 4, que é riquíssimo em módulos e na facilidade de customização, permitindo inclusive que o usuário defina seus próprios critérios de filtragem. O pacote permite um nível sem precedentes de ajuste, o que auxilia e muito na construção de um conjunto de filtros que aliam eficiência e precisão. Um dos poucos pontos negativos do aplicativo é o processo de instalação do mesmo, que não detecta as contas de e-mail do usuário. Essas contas devem ser cadastradas manualmente, mas como é um processo que só precisa ser feito uma vez, penso que seja um defeito menor.

No geral os três produtos se destacam dos demais, e apresentam-se como excelentes alternativas de proteção ao usuário doméstico.

Ajude-nos a melhorar a qualidade dos artigos desse site deixando na sessão de comentários suas dúvidas, críticas e sugestões.

Até a próxima.

Um pouco sobre os anti-spams

O lixo eletrônico é uma praga que precisa ser evitada, e para isso existem as ferramentas de anti-spam. Ouça um pouco sobre o problema e a solução no artigo de hoje.


Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ver um vídeo com o quadro do Monty Python que indiretamente deu origem ao termo “spam” para lixo eletrônico (legendado em português).

Para ler esse artigo, clique no botão abaixo.

Recentemente comentei um dado da Symantec de que 90% das mensagens de correio eletrônico enviadas no mundo todo são não solicitadas, isso é, são lixo eletrônico. Ou “SPAM”, como os americanos batizaram essa encheção de saco virtual.

Penso ser oportuno falarmos sobre as ferramentas que cuidam para que nossas caixas de entrada não fiquem entupidas com esse tipo de lixo. Tais ferramentas são chamadas de anti-spam”

Antes de começarmos, uma explicação. O termo “spam” teve origem na década de 30 do século passado, quando a empresa Homel levou ao mercado aquilo que conhecemos como apresuntado, um enlatado de carnes processadas quimicamente. Em 1970 o Monty Python, grupo de comediantes ingleses, criou um quadro em que um casal tenta escolher pratos para o café da manhã em um restaurante, e todos eles contém grande quantidade do tal do spam. Exatamente desse quadro surgiu o nome das mensagens não solicitadas, que aparecem em profusão nas caixas de entrada de todos nós, se não cuidarmos de evitá-las.

O lixo eletrônico popularizou-se justamente pelo baixo custo, e hoje é uma praga difícil de evitar e praticamente impossível de erradicar. Na tentativa de conter o problema, muitas soluções foram propostas, inclusive as listas negras e as listas brancas de e-mail. As listas negras são aquelas que contêm endereços de remetentes indesejados. São mantidas por instituições internacionais e o Brasil costuma figurar em uma das três primeiras posições em quantidade de endereços bloqueados. Há muito as listas negras deixaram de se preocupar com os endereços de e-mail dos remetentes, uma vez que esses são facílimos de serem forjados, usando hoje os endereços IP dos remetentes. O problema é que os spammers sempre encontram novos endereços não bloqueados para enviarem suas mensagens indesejadas. Já as listas brancas são mantidas localmente e são compostas dos endereços autorizados a mandar e-mail. Todos os endereços que não fazem parte da lista são bloqueados. Nesse caso a desvantagem é perder mensagens importantes de pessoas que por um motivo ou por outro não façam parte da lista de autorizados.

Os aplicativos modernos anti-spam usam um conjunto de técnicas que englobam as listas negras, as listas brancas e a análise das mensagens. Remetente, quantidade de destinatários, palavras-chave no corpo da mensagem e outros atributos, Para cada mensagem determinam uma probabilidade de que a mesma seja lixo eletrônico e só deixam passar aquelas que aparentemente têm conteúdo legítimo. As demais vão para a lixeira ou para uma pasta especial de quarentena, onde permanecem até que o usuário decida apagá-las de vez.

É um processo 100% garantido? Não, por lidar com probabilidades, existe uma chance de que algum lixo eletrônico escape para a caixa de entrada dos usuários — que é sempre o interesse maior de quem manda esse tipo de mensagem. Eles disfarçam palavras e expressões, colocam o texto todo dentro de uma figura e desenvolvem suas próprias técnicas para burlar o anti-spam. Quando uma mensagem não solicitada consegue burlar o aplicativo anti-spam, é chamada de “falso negativo”. Existe também a possibilidade de uma mensagem legítima ser barrada pelo anti-spam. Por isso a maioria dos aplicativos evita apagar logo de cara o suposto lixo eletrônico que chega, dando uma chance para o usuário recuperar alguma mensagem importante que tenha ido para a quarentena.

Apesar dessa probabilidade de falsos positivos e falsos negativos ser uma questão que exige atenção por parte do usuário, é inegável que as ferramentas de anti-spam sejam úteis e evitem muita dor de cabeça.

Hoje em dia a maioria dos provedores de serviço de correio eletrônico já adota uma ferramenta centralizada de controle desse tipo de praga, e nesses casos as mensagens já chegam filtradas para o usuário, Provedores de Webmail tais como o GMail, o Hotmail, o YahooMail e o UOLmail adotam algum tipo de estratégia para proteger sua caixa de entrada, e como os pacotes comerciais, essa técnicas estão cada vez mais refinadas e eficientes.

No próximo artigo faremos um comparativo entre os principais pacotes anti-spam disponíveis no mercado.

Bom fim de semana e até a próxima.

Uma lista com dicas de insegurança

Para aqueles que fazem questão de ignorar dicas de segurança, hoje publicamos uma lista com dicas de insegurança, que deve facilitar muito a vida dos bandidos nesse Natal.


Clique aqui para baixar o artigo em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

As festividades de fim de ano fazem com que uma multidão de usuários se aventure na Web em busca de compras para si mesmos, para parentes e conhecidos. É claro que bandidos de todos os matizes também ficam animados nessa época, pois o número de potenciais vítimas cresce a olhos vistos. Esse fenômeno faz com que as entidades de proteção contra fraudes redobrem suas atividades, emitindo boletins, dicas e listas de cuidados. Eu mesmo já publiquei algumas dessas listas de cuidados, ainda que fora de época, e penso que são de fato muito úteis para aqueles de nós que tem juízo suficiente para seguir as sugestões dadas.

Infelizmente não é o caso de inúmeros usuários por aí, que continuam ignorando aviso após aviso, até mesmo depois de serem vitimados por alguma das várias armadilhas disponíveis on-line.

No sentido de facilitar esse estranho comportamento por parte dos usuários que insistem em ignorar avisos, o jornalista Jaikumar Vijayan, da ComputerWorld, publicou uma bem humorada e cínica lista. Nela, dicas de como o usuário negligente pode facilitar a vida dos bandidos, engordando o Natal desses nossos camaradas, os criminosos da Internet. Vejamos as cinco “dicas” de Vijayan, incrementadas com algumas de minhas próprias variações, criadas especialmente para os ouvintes e leitores do “5 Minutos de Segurança”:

Dica 1 – Abra todos os anexos e clique em todos os links de mensagens recebidas de estranhos. Isso vai facilitar que toda sorte de praga virtual seja instalada em seu computador, pragas essas que vão roubar suas informações e dados de acesso a contas bancárias. Eu ainda adicionaria: preencha todos os formulários que venham em mensagens com o logo de seu banco, da receita federal, dos correios, da polícia e de sua operadora de celular, mesmo que essas entidades jurem de pé junto que não enviam e-mail pedindo informações pessoais. Preenchendo esses formulários e dando suas informações de bandeja, você estará facilitando e muito a vida dos bandidos, que coitadinhos, merecem esse carinho como presente de Natal, não é mesmo?

Dica 2 – Responda à mensagem do embaixador da Nigéria que pede seu auxílio para transferir setecentos e cinqüenta milhões de dólares daquele país aqui para o Brasil. Siga rigorosamente as instruções dadas pelo embaixador, inclusive fazendo todos os depósitos na conta bancária dele, de forma que você possa no futuro receber os milhões que ele te oferece como recompensa. Envie quanto dinheiro ele pedir, todas as vezes que ele entrar em contato com você. Aí é só esperar — sentado — por sua justa recompensa.

Dica 3 – Instale um cliente de compartilhamento de arquivos tipo peer-to-peer, tais como o BitTorrent, o eMule ou o LimeWire e selecione todos os seus discos como áreas de compartilhamento. Dessa forma, enquanto você baixa software com vírus e conteúdo ilegal para sua máquina, os bandidos podem baixar suas calças, digo, todas as suas informações pessoais.

Dica 4 – Troque todas as suas senhas por algo que seja fácil de descobrir. Algo na linha de uma sequência bem trivial, tipo “123456”; a data de seu nascimento; seu primeiro nome; ou mesmo a palavra “senha”. E não se esqueça de usar a mesma senha para todos os sistemas que você acessa, OK? Os pobrezinhos dos bandidos estarão super atarefados, e não é justo que adicionemos ainda mais trabalho às agendas deles com a escolha de senhas difíceis de serem quebradas, não é mesmo?

Dica 5 – Não use antivírus, anti-spam, anti-spyware e outras ferramentas de segurança. Ou melhor, simplesmente pare de atualizar as que você tem instaladas em seu computador, e quando alguma delas disser que você está prestes a entrar numa fria, ignore alegremente o aviso, e siga em frente com a certeza de que está fazendo uma caridade a algum bandido necessitado.

Agora, se você for um usuário daqueles sem coração, que não liga a mínima para o bem-estar dos bandidos, faça exatamente o contrário do que dizem essas dicas.

Ajude-nos a melhora os artigos desse site deixando na seção de comentários suas dúvidas, críticas e sugestões.

Até a próxima.