Um excelente final de ano a todos!

O 5 Minutos de Segurança entra em recesso a partir de hoje.

Estaremos de volta no dia 10 de Janeiro de 2011.

Até lá fica o meu agradecimento a todos vocês por um ano de muito aprendizado e muita interação. Que 2011 seja um ano seguro para todos.

O vídeo abaixo mostra (para mim, pelo menos) do que somos capazes quando nos dispomos a surpreender positivamente e tocar os que nos cercam. Espero que vocês gostem:



Até 2011!

Endereços descartáveis de e-mail

Quando algum site nos pede o e-mail para confirmação, corremos o risco de passar a receber spam. Como evitar isso? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo do site Fried Beef’s Tech sobre os e-mails temporários.

Para ler esse artigo, clique no botão abaixo.

 

Com variações, mas mantendo a ideia básica, isso já aconteceu com todos nós: estamos em busca de alguma informação na Web, e o site onde essa informação se encontra nos pede para nos cadastrarmos. Em meio aos dados requeridos, nosso endereço de e-mail. Fornecendo o e-mail, imediatamente recebemos uma mensagem de confirmação, e ao clicarmos no link de confirmação, finalmente temos acesso à informação desejada.

Se o papo terminasse aí, não haveria problema, não é verdade? Só que em muitos casos esse é apenas o começo da história. O site a quem demos nosso endereço de e-mail em alguns casos não age de forma ética, repassando esse endereço a outros ou mesmo usando o endereço sem nossa permissão para nos mandar mensagens não solicitadas. O spam começa a invadir nossos e-mails, obrigando-nos a perder um tempão para separar o joio do trigo em nossa caixa de entrada.

Como evitar isso? Como acessar informações que nos exijam cadastro sem expor nosso endereço de e-mail a uma enxurrada de spam?

Bem, a primeira sugestão é não pararmos a busca quando encontramos o site que nos exige dados de e-mail. Investir mais cinco minutos de busca pode render a mesma informação de forma menos invasiva, não é verdade?

Contudo, isso nem sempre vai ocorrer, e em algumas situações teremos mesmo que “morrer” com um endereço de e-mail. Para esses casos existem vários serviços gratuitos de e-mail temporário que vêm em nosso resgate. Em tais serviços podemos criar contas temporárias de e-mail, com validade desde alguns minutos até várias semanas. As mensagens recebidas são encaminhadas até nós, e quando a validade do e-mail temporário expira, deixamos de receber qualquer tipo de mensagem daquela fonte.

Tais serviços devem vir, obviamente, com o compromisso dos provedores de que nosso verdadeiro endereço de e-mail não será divulgado, o que é um procedimento padrão, caso contrário não teriam credibilidade nenhuma.

Alguns desses serviços são: o Mailinator, que cria contas temporárias de 48 horas; o MintEmail, que automaticamente atualiza sua caixa de entrada temporária, não exigindo que você recarregue a página enquanto espera pela mensagem que quer receber; o DodgeIt que também oferece serviço de avisos via RSS; o Guerrilla Mail, que permite que você inclusive responda e-mails através desse serviço temporário; o Mail Temporaire, que é francês e permite que o usuário escolha o tempo de validade do e-mail temporário; e o One Way Mail, que inclusive dispensa o registro o usuário. E olha que esses são apenas alguns, sendo que uma busca por “e-mail temporário” no Google certamente vai gerar dezenas de outros resultados interessantes.

Vale a pena protegermos nosso endereço de e-mail: é parte do pouco que ainda nos resta de privacidade na Internet.

Até a próxima.

Algumas previsões para 2011

O cenário de segurança está mudando, e permite que os especialistas façam algumas previsões interessantes sobre segurança no ano que está para começar. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler as previsões da Cenzic para 2011.

Clique aqui para ler as previsões da IAPC para 2011.

Para ler esse artigo, clique no botão abaixo.

A Cenzic e a IATC publicaram recentemente suas previsões para o cenário de segurança em 2011. Algumas das previsões são de interesse dos usuários domésticos e do enorme contingente de usuários de informática no trabalho. Vamos avaliar cinco dessas previsões.

1. As aplicações móveis — aquelas que instalamos em nossos smartphones e em nossos tablets — vão se tornar alvo preferencial dos criminosos. À medida que essas aplicações deixam o setor de entretenimento e passam a ter propósitos sérios, também se ocupam de transações financeiras, e carregam dados sigilosos, elas farão com que os olhares dos bandidos cresçam sobre si. Essa atenção dos bandidos é sempre uma má notícia, e exigirá que empresas desenvolvedoras prestem uma atenção danada na segurança de suas aplicações. Também obrigará o usuário a ter muito cuidado e muito critério na hora de escolher as aplicações que baixa em seu dispositivo, atenção essa que deve estar presente na hora da escolha e também no dia-a-dia, quando surgirem novas atualizações. Nada de diferente do que já enfrentamos em nossos computadores, certo? Sim, com o agravante de que serão em muito maior número e muito mais pulverizadas em nossos dispositivos móveis, que também tendem a crescer em quantidade.

2. Agora que os ataques às aplicações Web estão em um patamar alarmante, o que se espera é que esses ataques sejam automatizados e popularizados através de “kits” gratuitos que auxiliam a explorar as vulnerabilidades existentes. Kits semelhantes já existem para ajudar os bandidos menos capacitados a construir seus códigos maliciosos e também para explorar vulnerabilidades de rede. Agora vão popularizar os ataques onde esses rendem mais: as aplicações na Web. Eis aí outro motivo para redobrarmos nossa atenção quanto às atualizações dos programas em nossos computadores. Quem ainda não tem esse hábito, é melhor desenvolver, e logo.

3. Os ciber-crimes atingirão mais pesadamente as pequenas empresas, uma vez que estas fazem mais e mais negócios via Internet a cada ano que passa. Os bots de roubo de informações financeiras e os ataques direcionados, perpetrados por hackers, voltarão suas baterias para as pequenas empresas e para os empreendedores caseiros. Nesse sentido a segurança da informação passará a ser uma questão de sobrevivência para esses pequenos negócios.

4. O roubo de informações nos caixas eletrônicos deve aumentar, mantendo a tendência desse ano. Aqui vale um pedido aos nossos bancos: devemos solicitar (em nossa próxima visita à agência) que os funcionários nos ensinem como identificar se um caixa eletrônico foi adulterado ou não. Penso que os bancos não estão fazendo sua parte em ensinar os clientes a identificar caixas eletrônicos adulterados, nem como devem se comportar diante de caixas eletrônicos em locais distantes ou em locais vazios.

5. Por fim, o Wikileaks, aquele site que está causando o maior bafafá por divulgar segredos de estado de vários países, já prometeu que vai divulgar segredos corporativos, isso é, de várias empresas e indústrias. Isso significa que nas empresas em que trabalhamos haverá marcação cerrada sobre todos nós e sobre nossas atitudes quando usamos os recursos de informática da empresa. Sabe aquele arquivo que você mandou imprimir e deixou “de bobeira” na impressora durante uma meia horinha à toa? Então, de agora para frente tende a lhe render no mínimo um belo pito do seu chefe.

Até a próxima.

A "Hora de Ouro" do phishing

Um estudo publicado pela Trusteer mostra que a maioria das vítimas de phishing cai nas armadilhas logo na primeira hora do ataque. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Amit Klein, no blog da Trusteer sobre a “Hora de Ouro” dos ataques de phishing.

Para ler esse artigo, clique no botão abaixo.

O pesquisador Amit Klein, da Trusteer, publicou na semana passada um artigo no blog da empresa com o resultado de uma pesquisa interessante. Ao avaliar quanto tempo depois do lançamento de um ataque de phishing as vítimas reagem, isto é, caem na armadilha, Klein constatou que 50% dessas vítimas caem na arapuca na primeira hora do ataque. Essa hora inicial está sendo chamada de “Hora de Ouro”, e esse tipo de comportamento por parte das vítimas é o que mais dificulta na resolução do problema do phishing.

O estudo mostra ainda que em 5 horas, 80% das vítimas caem na armadilha, e em 10 horas esse número chega a 90% do total de vítimas. Isso significa que tirar um site de phishing do ar depois de 10 horas (ou mesmo depois de 5) é praticamente irrelevante. O problema se agrava porque é muito raro que se consiga identificar o ataque e tirar o site do ar durante a tal “Hora de Ouro”. Tipicamente mesmo as poucas horas que se passam entre o lançamento do ataque, sua identificação e as providências para tirá-lo do ar são suficientes para que a maior parte do estrago seja feita.

O que mais incomoda nessa história toda é o fato de que os usuários reagem tão rapidamente aos ataques, entregando-se em questão de minutos aos bandidos. Falta um pouco de bom-senso, e um outro tanto de cautela. Esses 50% de vítimas da primeira hora, aposto, não fazem checagem alguma antes de sair clicando em links e dando seus dados. Não se perguntam se o pedido é legitimo, não ligam para a instituição supostamente pedindo os dados, não checam com amigos ou conhecidos para saber se alguém sabe alguma coisa, nada. Não, simplesmente reagem, como se dar a senha do banco fosse a coisa mais normal do mundo.

O caso todo permite mais uma dica para quem fica em dúvida sobre se dá seus dados ou não: como os ataques são tirados do ar após sua identificação, o usuário deve esperar pelo menos 24 horas antes de passar seus dados. É claro que nesse período o usuário deve procurar se informar o quanto puder sobre o pedido. Se depois de 24 horas ainda estiver disposto a se aventurar, deve esperar ainda mais 24 horas, e assim sucessivamente até que desenvolva o bom-senso necessário para perceber que empresas e instituições sérias não pedem dados sigilosos por e-mail ou via site. Pronto: problema resolvido.

Mudando de assunto, faz pouco tempo assumi novas responsabilidades profissionais, e nessa nova etapa não tenho mais a disponibilidade necessária para manter este blog atualizado diariamente. Lutei para chegar ao artigo de número 300 em base diária, e agora que esse objetivo foi atingido, o blog passa a ser atualizado duas vezes por semana: às segundas e às quintas. Assim consigo dar conta de minhas novas responsabilidades, e ao mesmo tempo em que mantenho esse contato com vocês, leitores e ouvintes. O formato continuará o mesmo: artigos em texto e áudio versando sobre segurança para os usuários domésticos.

Obrigado por manterem esse blog vivo durante esse um ano e meio, e até a próxima.

Quando o antivírus trava o computador

O que fazer quando a atualização do antivírus trava o computador? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo no blog da AVG que ensina como resolver o problema de travamento do antivírus provocado pela atualização de ontem.

Para ler esse artigo, clique no botão abaixo.

Ontem alguns usuários do excelente antivírus AVG relataram que seus computadores não puderam ser reinicializados após uma atualização no antivírus. O problema foi reconhecido pela empresa, que de imediato retirou a atualização defeituosa do ar, e mostrou em um artigo em seu blog como recuperar o computador nesse caso específico.

O problema lembra outro ocorrido esse ano com alguns dos usuários do antivírus da Symantec, e de vez em quando essa questão incide sobre usuários que têm em seus computadores alguma configuração particular, sem ser algo que afete grande número de pessoas. A pergunta óbvia é: o que fazer numa situação dessas?

Bem, tudo depende do tempo que se tem para resolver o problema, da necessidade (imediata ou não) de acesso à Web, e da ligação emocional que temos com nossa solução de antivírus.

O fato é que não dá para acessar a Internet sem um antivírus ativo na máquina. O risco seria muito grande, e quanto mais tempo passássemos navegando sem proteção, maiores seriam as probabilidades de prejuízo grave. O mais sensato a fazer nesse caso é buscar no site do provedor do antivírus a sequência de passos a trilhar para resolver o problema. Essa busca deve ser feita a partir de outra máquina, claro. Geralmente isso envolve inicializar a máquina no modo de segurança, desinstalar a atualização que causou o problema (quando isso é possível) e voltar a usar o computador normalmente. A AVG, por exemplo, dá instruções exatamente nesse sentido.

Mas e quando esse voltar um passo atrás com o antivírus não é possível? Bem, aí a solução mais rápida pode ser a inicialização no modo de segurança, seguida da remoção completa do antivírus e da instalação — ainda que temporária — de outro pacote de proteção. Inúmeras soluções gratuitas de antivírus podem nos resgatar em um momento de necessidade: AVG, Avira, ESET, Microsoft, Panda, e tantos outros podem ser utilizados como paliativos enquanto nossa solução preferencial está no estaleiro. Depois de resolvido o problema pela empresa, basta desinstalar a solução paliativa e reinstalar nosso antivírus de escolha. O que não vale é desativar o antivírus e continuar navegando como se nada estivesse acontecendo. Isso equivale, como eu já disse, a fechar os olhos e atravessar sem proteção uma área onde está ocorrendo um tiroteio.

A enquete da semana está fechada Parabéns aos 31% dos respondentes que fazem varreduras diárias em seus discos. Os 15% que fazem varreduras semanais não estão muito atrás, mas correm o risco de arcar por uma semana com códigos maliciosos em suas máquinas, o que não seria nada bom, não é verdade? Os demais 54% se arriscam demais na opinião desse blogueiro.

Nossa nova enquete diz respeito ao cuidado com a segurança de nossas redes sociais preferenciais: quando foi a última vez que gerenciamos os parâmetros de privacidade?

Por fim, uma notícia interessante: esse é o nosso artigo de segurança de número 300. Muito obrigado a todos vocês pela audiência, que é o que me impulsiona a continuar esse trabalho.

Um excelente fim de semana a todos, e até a próxima.

O ataque via Twitter "trends"

Um ataque simples e engenhoso mira os usuários do Twitter interessados nas principais tendências do momento. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para baixar ler um artigo de Sean-Paul Correll, da PandaLabs sobre o ataque nos “trends” do Twitter.

Para ler esse artigo, clique no botão abaixo.

O mecanismo de “trends” do Twitter (que em português quer dizer “tendências”) é usado para divulgar assuntos que estão em alta naquele site de mensagens. No Brasil o “trends” ficou conhecido esse ano com a famosa campanha #calabocagalvao, que ficou no topo das tendências do site no mundo inteiro por vários dias.

Os ciber-criminosos estão usando esse mecanismo de tendências do Twitter para efetuar um ataque simples e engenhoso, como informa Sean-Paul Correll, da Panda Labs. Funciona assim: os bandidos criam contas fantasmas no Twitter e se apoderam de contas de usuários que têm senhas fracas. Aí começam a “tuitar” um mesmo assunto, gerando uma tendência. Por exemplo, o dia mundial de combate à AIDS é um dos assuntos explorados mais recentemente. Nos tweets maliciosos, um link reduzido que leva a uma página que vai tentar descarregar um cavalo de troia no computador da vítima. Os links reduzidos, para quem não sabe, são produzidos por serviços que visam diminuir o número de caracteres em um link. Normalmente os links ocupam dezenas de caracteres (HTTP://5minseg.blogspot.com, por exemplo, tem 27 caracteres), e como o Twitter permite mensagens de apenas 140 caracteres, URLs grandes tendem a consumir espaço que seria necessário para a mensagem. Os serviços de redução de URL resolvem o problema, reduzindo para pouco mais de 20 caracteres qualquer endereço. O problema é que aí o usuário não sabe onde está clicando, e pode ser levado a sites maliciosos, como no caso desse ataque. E se o “tweet” diz respeito a um assunto que é tendência, mais gente tende a ser enganada.

E como fazer para evitar esse tipo de ataque? Bem, a primeira coisa é avaliarmos até que ponto deixamos nossa curiosidade nos levar, não é mesmo? As tendências do Twitter são interessantes, e em alguns casos até importantes. Com as recentes operações militares contra as drogas no Rio, por exemplo, muitos são os que tuitam a respeito de locais inseguros, onde operações ocorrem naquele momento. Claro que isso é bastante útil para quem está ligado no assunto, podendo evitar ir a esses locais. Mas esse tipo de tendência de uso imediato e de utilidade pública é exceção. A vasta maioria das tendências do Twitter trata de assuntos triviais ou de acontecimentos com celebridades. Será que não dá para segurar a curiosidade nesses casos? Será que não é melhor depender de portais confiáveis de notícias para nos interirarmos dos assuntos? Penso que sim.

Outra dica importante é a utilização de mecanismos que nos permitam analisar as URLs reduzidas antes de clicarmos. Existem plugins para navegadores que mostram a URL final quando passamos o mouse sobre o link reduzido, o que pode nos dar uma ideia melhor se devemos clicar ou não. No Firefox, por exemplo, eu uso o Xpnd it!, que faz o serviço de forma rápida e eficiente (e é gratuito, claro).

Até a próxima.

Segurança em compras online

O Natal se aproxima, e as compras online são uma alternativa barata para os presentes. Mas será que é seguro? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Já faz alguns anos que as compras online fazem parte do cotidiano de muita gente, lá fora e aqui no Brasil, e no Natal esse procedimento é adotado por muitos de nós, ávidos por aproveitar ofertas e evitar filas. Se forem feitas com critério, as compras online são uma alternativa segura e barata, mas se a gente não presta atenção, corre o risco de tomar prejuízo.

A primeira e principal dica é efetuar as compras em sites de boa reputação e comprar de vendedores também de boa reputação. Em ambos os casos a busca pelo produto desejado não deve terminar conosco tendo encontrado o menor preço: a partir daí é importante pesquisar se as transações com aquele site e com aquele vendedor são bem avaliadas por quem comprou antes de nós. Os sites de leilão online, por exemplo, têm sistemas de reputação para vendedores, e basta uma rápida avaliada nos comentários de compradores pregressos para sabermos se as chances são grandes de entrarmos em fria ou não.

No caso do principal site de leilão online em funcionamento no Brasil, o MercadoLivre, existe a possibilidade de uma proteção extra: o serviço MercadoPago. Trata-se de um serviço de pagamentos em que o comprador cede o crédito ao MercadoPago e este serviço paga o comprador. Neste caso o comprador está protegido, podendo receber seu dinheiro de volta — ainda que com limitações — caso haja problema com a compra.

O site de leilões americano e-Bay oferece um serviço semelhante, e sem as limitações impostas pelo MercadoPago. Recentemente tive a oportunidade de testar esse serviço de proteção, e posso atestar que funciona: o porta-retrato digital que comprei de um vendedor supostamente de boa reputação e pelo qual paguei por US$11.99, não chegou. É bom lembrar que no Brasil um produto similar custa de R$150 para cima. Ao verificar, percebi que o vendedor havia sido descadastrado pelo próprio e-Bay e acionei o serviço de proteção. O resultado é que minha conta foi creditada no valor pago, incluindo o valor do frete. Fora o tempo de espera pelo produto, não perdi nada. Isso porque o e-Bay é um serviço sério, claro.

Minha experiência com o e-Bay mostra ainda uma coisa bem importante: quando a oferta parece boa demais para ser verdade, provavelmente é. Não é difícil economizarmos alto em compras online. A ausência de estoque, de lojas com manutenção cara e de vendedores tende a colocar os produtos numa faixa que varia entre 20% e 50% abaixo dos produtos de loja. Mas se nossa ganância nos faz salivar por descontos de irreais de70%, 80%, 90%, não poderemos reclamar quando formos enganados, não é mesmo?

Até a próxima.

Novo ataque de sequestro virtual de dados

Um novo ataque de ransomware exige dinheiro de resgate para liberar arquivos dda vítima. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Vitaly Kamluk, da Kaspersky, sobre o novo ataque de sequestro virtual de dados.

Para ler esse artigo, clique no botão abaixo.

Em outubro do ano passado publiquei aqui no 5 Minutos de Segurança um artigo intitulado A Praga Congelante, em que descrevi um ataque que trava a máquina da vítima, exigindo que a mesma pague uma quantia em dinheiro pela liberação. Esse tipo de golpe de “sequestro virtual” está de volta, como informa Vitaly Kamluk, da Kaspersky, em um artigo publicado ontem no blog da empresa.

Nesse novo ataque um código malicioso se infiltra na máquina e criptografa os arquivos da vítima, exibindo uma mensagem de ameaça que exige 120 dólares para que os arquivos sejam liberados. A criptografia utilizada é baseada em mecanismos de 256 e 1024 bits, o que torna a recuperação dos arquivos criptografados bastante difícil na base da “força bruta” (isto é, sem a chave de decifrgem). A mensagem ainda ameaça de duas formas: dizendo que a vítima tem apenas alguns dias para fazer o pagamento, senão os arquivos serão permanentemente apagados, e avisando a vítima de que se contar o caso para alguém, nunca mais será contactada pelos bandidos. Pode uma coisa dessas? É um sequestro virtual em seus mínimos detalhes, não é verdade?

Bem, a Kaspersky avisa que não há indícios de que os arquivos sejam de fato apagados depois de alguns dias, o que já é um pequeno alento. A empresa avisa que o pagamento do tal resgate é um erro, e que as vítimas provavelmente nunca conseguirão a chave de decifragem uma vez que sejam infectadas pelo código malicioso.

Mas então, o que fazer? Bem, a primeira coisa é manter o backup em dia, não é verdade? Em caso desse tipo de ataque (ou de qualquer outro imprevisto), quem tem backup de seus dados respira aliviado. Quem não tem, geralmente está em maus lençóis. Outra atitude importantíssima é manter o antivírus em dia, mas bato tanto nessa tecla que já está até gasta, não é mesmo? E, por fim, muito critério e muito cuidado em nossas navegações pela Web.

Até a próxima.

Fotos na Internet

Você já procurou por suas fotos na Internet? E se procurar, será que vai gostar do que encontrar? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Esse é um experimento simples que pode gerar resultados que vão do “sem surpresas” ao “pânico total”. Entre no Google, clique no link “Imagens”, e busque pelo seu nome completo entre aspas. Fiz o teste recentemente, e fiquei aliviado de não encontrar nada de comprometedor, apesar de saber que alguns amigos mantêm em seu arsenal fotos que não seria conveniente divulgar. Pedi a alguns alunos que repetissem a experiência e me relatassem o que fosse encontrado, e não demorou muito para que um deles me contasse o óbvio: fotos antigas de bebedeiras e comportamentos duvidosos existem e são acessíveis por qualquer um.

Uma consulta rápida a dois profissionais da área de RH me diz que esse procedimento está se tornando comum nos processos de recrutamento, e que apesar de não ser um mecanismo amplamente divulgado, o material encontrado pode ser utilizado como critério de desempate no caso de dois ou mais candidatos terem currículos, experiências e capacitações equivalentes para ocupar uma determinada vaga. Pense bem: dois candidatos recém-formados concorrem a uma vaga de trainee em uma empresa do ramo financeiro. Os dois têm históricos escolares semelhantes, a mesma capacitação em línguas estrangeiras, e fizeram estágios em empresas multinacionais da mesma categoria. Um deles não suscita fotos e fatos, digamos “inusitados” numa busca na Internet. Sobre o outro se encontram fotos das últimas edições do Oktoberfest, de vários eventos de carnaval, de festas e afins, sempre com o indivíduo com um copo na mão ou em situação periclitante depois de a festa acabar. Quem a instituição contrataria? Nada contra aproveitarmos a vida, e o convívio social é algo que diz coisas positivas sobre a personalidade de um indivíduo. Mas será que é isso que o banco quer? Será que em um momento de necessidade o candidato festeiro estará a 100% de seu desempenho, ou corre o risco de estar prejudicado por uma festança recém-terminada? Não é difícil perceber que nesse caso o candidato mais discreto terá melhores chances, dada a equivalência nos demais aspectos.

Não estou aqui pregando o moralismo, nem fazendo proselitismo contra a gandaia. A questão é outra: temos que zelar por nossa imagem on-line, pois nos tempos competitivos em que vivemos, cada vez fica mais fácil procurar e encontrar nossos rastros passados, levando-os em conta em nossas interações profissionais. E será que há o que fazer caso encontremos material inapropriado a nosso respeito na Internet? Em muitos casos, sim: basta pedir ao responsável pela publicação que retire o material do ar. Isso quando não somos nós mesmos os publicadores desse tipo de material, em cuja situação fica mais fácil ainda.

Mas o melhor mesmo é prevenir, claro. Não podemos esquecer que se nós mesmos não zelarmos por nossa privacidade, não podemos imaginar que os outros vão fazê-lo.

Até a próxima.

Uma perda de tempo no Facebook

Os falsos avisos de vírus estão de volta, agora via Facebook. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Essa semana tem circulado pelo Facebook um falso aviso de vírus, supostamente alertando contra um aplicativo malicioso chamado “Christmas Tree” (“Árvore de Natal”, em inglês). A mensagem avisa que é um dos piores “vírus cavalo de troia” que tem por aí, e que ele vai travar seu computador.

Ê vontade de dar uma surra de cinta nos moleques que criam esse tipo de baboseira, viu... É claro que se trata de uma fraude, criada com o único propósito de espalhar a mensagem pelo Facebook afora. É espírito de porco puro, e nada além disso.

Quer fazer um favor para todos os seus amigos? Se você receber essa mensagem, não a publique em seu mural. E, além disso, mande uma mensagem pessoal para quem te mandou a baboseira e avise de que se trata de uma fraude.

Entra ano, sai ano e o cenário não muda. Continuamos nos entregando de bom grado a essas perdas de tempo, e eu continuo com a mesma pergunta de sempre: quando é que a gente vai aprender?

Com relação à nossa enquete da semana, fiquei surpreso e feliz com o resultado. Dos respondentes, 55% não têm software pirata em seus computadores, e 45% se entregam a essa prática duvidosa. Confesso que esperava uma “lavada” em favor da prática da pirataria, e estou muito contente com o resultado. Sei que só se aplica a quem frequenta esse blog ou a quem procura por informações sobre segurança na Internet (e por isso chega até aqui), mas ainda assim, parabenizo os 55% de usuários conscientes.

Nossa nova enquete é a seguinte: com que frequência você faz uma varredura completa em seu computador com o antivírus? Espero ficar positivamente surpreso com as respostas também.

Bom fim de semana e até a próxima.

Um phishing natalino

Os golpes de phishing estão diminuindo, mas ainda aparecem de vez em quando. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Penso que as recentes análises acerca da redução da incidência dos golpes de phishing estejam corretas, pois tenho percebido uma diminuição nesse tipo de mensagem em minha caixa de entrada, bem como na caixa de entrada de alguns amigos com quem tenho conversado. Ainda assim, de vez em quando os ciber-criminosos de plantão tentam lançar-nos uma bola nas costas. Veja a imagem abaixo, de uma mensagem que parou na caixa de spam de minha conta no GMail:



A princípio parece bacana: uma promoção de natal de uma operadora, que só vai ser desconsiderada de início por quem não é usuário TIM, ainda assim deixando um enorme contingente de vítimas potenciais; uma chance interessante de ganhar, pois não são 2 ou 10 celulares, mas 2010; um formulário que supostamente não pede nada além de meu celular e meu e-mail, ou seja, não é invasivo.

Só que quando a gente presta um pouco mais de atenção, percebe que isso jamais poderia ser uma campanha verdadeira da TIM. A começar pelo brutal erro de grafia na palavra “Premiado”, logo no título: essa palavra não tem acento, e do jeito que está escrita dá até dor de dente quando a gente lê. Quem continua lendo com cuidado encontra outros erros, como o acento em “previamente”, vírgulas em locais estapafúrdios e a desnecessária repetição do termo “e-mail” no parágrafo de atenção. Por fim, na linha superior o nome da empresa não está grafado com todas as letras maiúsculas, lembrando mais o nome do finado cantor Tim Maia do que o de uma operadora de celular. Em suma: esses bandidos podem até parecer espertos, mas precisam dar uma boa polida no português. E quem diria que aquelas aulas de português no ginásio seriam ferramentas de segurança hoje em dia, hein?

Quem clica no link traz para dentro da máquina, junto com o formulário, um cavalo de troia que abre a máquina para acesso dos bandidos, como avisa o site Linha Defensiva. E, claro, deve ficar com a maior cara de tacho quando levar o tal formulário preenchido em alguma loja da TIM e descobrir que foi enganado.

Mas e se eu estive, ah, “doente” durante justamente essas aulas de português no ginásio? Como faço nesse caso para descobrir que isso é um golpe? Bem, procurar descobrir se a oferta é legítima antes de clicar é fundamental. Se você é cliente TIM, ou conhece alguém que é cliente TIM, basta discar para o *144 e perguntar. A ligação é gratuita. E se não tiver um telefone à mão, procure por alguma das frases da mensagem no Google, com as frases entre aspas. Por exemplo, a frase "você foi indicado para a promoção natal TIM premiado" já traz vários tuites e artigos em que usuários avisam do golpe. Um deles, inclusive, mostra que o golpe já foi aplicado no ano passado, com 2009 celulares oferecidos.

No fim das contas, quando a gente põe a prudência, o bom senso e a desconfiança antes da ganância e da curiosidade, se protege até que facilmente de golpes assim.


Até a próxima.

Sobre o cadeado do navegador

Como funciona o cadeado que aparece de vez em quando no canto do navegador? E para que serve? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Ivan mandou a seguinte pergunta:

“Tem hora que estou navegando e aparece um cadeado no canto debaixo da tela. O que significa esse cadeado? Se é uma coisa de segurança por que ele não fica lá o tempo inteiro?”

Essas são excelentes perguntas, Ivan. Todos os navegadores vêm “de fábrica” com um mecanismo de segurança de comunicação de dados. Trata-se de um mecanismo de criptografia que, quando utilizado, “embaralha” as informações sendo trafegadas, de forma que se algum ciber-criminoso está na escuta da comunicação, tudo o que ele vai conseguir captar é uma baboseira sem fim, que não faz sentido porque ele não tem como decifrar. Bom, até que tem, mas isso exigiria um caminhão de poder de processamento e algumas décadas de tempo livre, o que torna o processo inviável.

Através desse mecanismo chamado SSL, que em tradução livre quer dizer “camada de conexão segura”, o site primeiro estabelece uma conexão segura com seu navegador — conexão essa chamada de “túnel” — e só depois é que os dados começam a ser trafegados. Seu banco, por exemplo, só permite o tráfego de dados (tipo: sua conta, sua senha, os dados das transações que você efetua) depois do estabelecimento desse túnel seguro. Assim que o túnel é estabelecido, o cadeado aparece, e se você ler o endereço lá na barra de cima, vai ver que agora esse endereço começa com HTTPS, ao invés de HTTP. O “S” significa “seguro”.

Você pergunta por que o cadeado não está lá o tempo todo, e a razão é simples: nem todos os sites usam esse mecanismo de segurança. Ocorre que o processo de criptografia demanda mais processamento dos servidores, o que não é um problema para você, que acessa alguns poucos sites de cada vez. Mas para o site — o seu provedor de Webmail, por exemplo — isso pode significar um custo proibitivo, uma vez que esse site tem que atender a milhares de pessoas a cada segundo. No caso de bancos e lojas online, esse mecanismo já é bem disseminado, mas aí é porque se não fosse, ninguém usaria os serviços. À medida que o preço dos equipamentos cai, mais sites estão adotando essa solução, mas enquanto não adotam, não há nada que nós usuários possamos fazer para criptografar a comunicação. O que pede sempre muito cuidado quando navegamos, não é mesmo?

E isso me leva às duas dicas importantes de hoje: a primeira é que devemos sempre nos certificar de que se estamos em contato com alguma instituição financeira, a comunicação deve ser protegida. Uma forma fácil de detectar um site falso é se ele pede informações financeiras e o cadeado não está lá. A segunda dica é mais sutil: quando o cadeado está lá, a única garantia é de que a comunicação está protegida. Mas não há garantia de que estamos nos comunicando com nosso banco, ou com a loja online de quem queremos comprar alguma coisa. Há casos de ciber-criminosos que conseguem estabelecer a criptografia SSL, dando um falso senso de segurança para o usuário. Como fazer para evitar isso? Muita atenção na barra de endereços, não clicar em links suspeitos, ligar para o estabelecimento antes de clicar, e olhos muito (mas muito) abertos o tempo todo.

Até a próxima.

Seu computador está em uma Botnet?

Fala-se muito de botnets, mas o que é isso? E como faço para saber se meu computador faz parte de uma? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

A ouvinte Edna mandou a seguinte pergunta:

“Ando vendo muito a palavra botnet em matérias publicadas na net. O que é isso? Como eu faço para saber se meu computador é uma botnet?”

Excelente pergunta, Edna. Vamos a ela. Os ciber-criminosos às vezes querem desenvolver atividades que necessitam de muito poder de processamento. Enviar 100 milhões de mensagens de spam, por exemplo. É claro que comprar todos os computadores e contratar conexões com a Internet para enviar todo esse material custaria muito caro, não é verdade? Então eles surgiram com uma solução simples: invadir computadores alheios e infectá-los com pequenos programas cumpridores de tarefas. Aí, quando precisam de poder de processamento, mandam as ordens para esses computadores infectados, que as cumprem. A Botnet é o conjunto de computadores infectados, agindo como zumbis a serviço dos ciber-criminosos. Ou seja, seu computador não “é” uma Botnet, mas pode sim ser parte de uma Botnet se você não tomar cuidado.

Descobrir se seu computador está infectado e faz parte de uma Botnet é uma tarefa relativamente simples. Os sintomas são os seguintes:

Lentidão do computador além do que é costumeiro. Os bandidos estão usando poder de processamento de sua máquina para realizar suas tarefas, e é natural que ela vá ficar mais lenta.

Redução inexplicável o espaço em disco. Sem que você instale nada na máquina, o espaço em disco começa a diminuir lentamente, pois os dados carregados pelos ciber-criminosos vão ficando espalhados pelo disco.

Lentidão do acesso à Internet além do que é costumeiro. Se a máquina está sendo usada para remeter spam, por exemplo, a conexão com a Internet passa a ser usada e abusada pelos bandidos.

Desativação do antivírus, alterações no desktop e nas configurações no sistema operacional, e comportamento anômalo da máquina. Algumas Botnets precisam de certas configurações na máquina para poderem realizar suas tarefas, e os bandidos não hesitarão em fazer essas mudanças na máquina infectada.

Se a máquina apresenta algumas dessas características, é bom desconfiar, mas nada de pânico. Uma visita à assistência técnica já será suficiente para tirar suas dúvidas e restaurar a máquina, em caso de uma infecção.

E como fazemos para nos protegermos? Bem, uma Botnet se constrói com invasão e infecção via código malicioso. A proteção, portanto é a boa e velha combinação de hábitos seguros de navegação e uso de um bom antivírus como forma de prevenção.

Até a próxima.

Duas estreias: "Harry Potter" e os golpes

Hoje estreia Harry Potter, e os golpistas não poderiam faltar ao evento.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Meu filho mais novo vem me lembrando do fato faz algumas semanas: dia 19 de novembro estreia “Harry Potter e as Relíquias da Morte”. Pois é, hoje é o dia, e junto com o esperado filme vêm os inevitáveis golpes.

Os mais espertinhos não veem a hora de baixar cópias piratas do filme, alegando que os ingressos são muito caros, que as filas são gigantescas e outras desculpas semelhantes. Podem até ser bons argumentos, na visão de alguns de nós, mas o fato é que nenhum deles justifica o risco em que nos colocamos ao tentarmos tais subterfúgios.

O filme está sendo guardado a 7 chaves pelo estúdio, e é um dos casos em que cópias não autorizadas não vazaram na Internet antes da estreia. Isso significa que qualquer oferta do filme que esteja pairando por aí só pode ser um golpe. Quer um exemplo? Um site de nome “Super Seduzido” — cuja visita eu não recomendo — está oferecendo download do filme completo. Quem clica no link é levado a uma página de registro, onde deve cadastrar seu celular. Êpa, para quê? Por que eu deveria dar meu celular para baixar um filme “totalmente grátis”? Desnecessário dizer que o tal cadastro tende a gerar valores na conta do celular no fim do mês, ou deduzir créditos do mesmo.

A partir de hoje esses golpes devem se intensificar com aquelas cópias horrorosas filmadas dentro do cinema aparecendo por aí, com o risco de trazerem vírus e cavalos de troia para dentro dos computadores dos espertinhos de plantão. De novo: não estou julgando a moralidade do ato, mas sim o risco que vão correr os que se meterem nessa. Cada um, cada um.

Mudando de assunto, nossa enquete sobre backup, apesar da modesta participação, mostra que 44% dos leitores e ouvintes do 5 Minutos de Segurança fazem backup diária ou semanalmente, o que é um percentual bastante alentador. Os demais 56% ou não fazem, ou fazem raramente, ou fazem mensalmente. Deveriam pensar no quanto vão perder de informações importantes se o disco pifar nesse instante. Aposto que vai doer.

Nossa nova enquete tem a ver com o artigo de hoje: gostaria de saber se nossos leitores e ouvintes são adeptos, ainda que informais, da pirataria. Semana que vem comento os resultados.

Bom fim de semana e até a próxima.

Ninguém sabe nada sobre segurança

Um vídeo feito pela F-Secure mostra examente o quanto as pessoas comuns sabem sobre segurança. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Assista abaixo ao video da F-Secure sobre a ignorância acerca da segurança:

Para ler esse artigo, clique no botão abaixo.

Kristina Skinner, da F-Secure, publicou ontem um vídeo no YouTube que ilustra brilhantemente a situação do conhecimento das pessoas comuns acerca da segurança. Nas ruas de San Francisco, na Califórnia, Kristina fez várias perguntas sobre ameaças conhecidas aos passantes, e as respostas seriam cômicas se não fossem trágicas.

A pergunta “o que você faz se pegar o Conficker?”, por exemplo, é casualmente respondida com “tomo um Advil”, como se o perigoso vírus ucraniano que em 2008 e 2009 infectou mais de 7 milhões de computadores em 200 países diferentes fosse algum tipo de gripe. A pergunta “O cavalo de troia Zeus ou o cavalo de troia Swizzor?” suscita respostas do tipo “o Zeus, pois soa mais masculino”, sem que as pessoas tenham ideia de que estão escolhendo o mais perigoso cavalo de troia de roubo de informações financeiras em atividade hoje em dia.

O que mais me chamou a atenção no vídeo foi algo bem mais sutil do que as respostas tragicômicas: o fato de que essas respostas foram obtidas em San Francisco, o coração do Vale do Silício, e supostamente o local no planeta Terra onde as pessoas deveriam estar mais cientes acerca das ameaças de segurança e como se proteger delas. Se lá a coisa está feia assim, imagine se fizéssemos a mesma pesquisa informal em uma rua de qualquer cidade do Brasil. Mais ainda: quantas das perguntas feitas no vídeo nós mesmos conseguiríamos responder sem passar a mesma vergonha dos transeuntes americanos?

Sabem de uma coisa? Não me admira nada que a guerra pela segurança na Internet esteja tão fácil para os ciber-criminosos.

Até a próxima.

Relatório da McAfee mostra crescimento das pragas

Um relatório da McAfee aponta para crescimento dos vírus, o que exige crescimento da atenção dos usuários. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o relatório trimestral de ameaças da McAfee (PDF).

Para ler esse artigo, clique no botão abaixo.

Creio que os leitores e ouvintes do 5 Minutos de Segurança não precisem de mais alertas sobre a importância do antivírus, mas como a notícia é muito relevante, vamos a ela.

Hoje a McAfee publicou seu relatório trimestral de ameaças, contabilizando as variações de crescimento de ameaças presentes na Internet. Para quem ainda se ilude pensando que é difícil ser vítima de pragas virtuais, a McAfee traz um número no mínimo impressionante: são 60.000 novas pragas únicas identificadas por dia, entre vírus, worms, cavalos de troia e que tais. Esse número é quase quatro vezes maior que o resultado do mesmo período em 2007. No total, são mais de 14 milhões de códigos maliciosos presentes na Internet, 1 milhão a mais que no mesmo trimestre em 2009.

É ou não é razão para mantermo-nos ligados na questão, com nossos antivírus atualizados e varreduras periódicas em dia?

O relatório ainda mostra um crescimento da atividade do Zeus, o cavalo de troia de roubo de informações financeiras mais ativo do planeta, responsável por perdas globais na casa dos 70 milhões de dólares, tudo isso roubado de pessoas físicas e pequenos negócios. Por outro lado, o que vem caindo é o spam, que esse trimestre atinge a marca mais baixa em 2 anos. Já foi comentado aqui que isso se deve a uma mudança de estratégia por parte dos ciber-criminosos, que preferem o acesso direto às contas das vítimas através dos cavalos de troia do que os golpes de phishing, geralmente enviados via spam.

No geral o relatório grita — e bem alto — com todos nós: abram os olhos e protejam-se, pois o cenário, que já estava feio, só tem feito piorar.

Até a próxima.

Um pouco mais sobre backup

Algumas alternativas online para backup de dados. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ir ao site da prestadora brasileira de serviços Online Backup.

Clique aqui para ler um artigo da PC Magazine sobre os serviços online de backup.

Para ler esse artigo, clique no botão abaixo.

Aproveitando o gancho do ouvinte Cristiano, fiz uma pequena pesquisa acerca das alternativas online de backup, e hoje falo sobre algumas dessas alternativas.

Com o aumento da disponibilidade da banda larga e a consequente queda de preços que acompanha esse aumento, chegamos a um ponto em que o espaço de armazenamento e o tráfego de dados são tarefas de baixo custo, o que permite a prestação de serviços online em nichos que antes eram proibitivos. Várias são as empresas que fornecem espaço de armazenamento para backups online, e os preços são, de fato, leves para quem quer proteger seus dados.

O Cristiano mencionou o 4shared, que é um serviço americano que inclusive oferece espaço para backup gratuito, para até 10GB. É uma solução simples, com uma interface bem fácil de aprender a usar, mas nem de longe é a que oferece as melhores características. O processo de upload dos arquivos é manual, e não há alternativa nesse modo gratuito para sincronização de pastas.

Em um artigo recente a revista PC Magazine fez um comparativo entre os serviços online de backup, e o grande vencedor foi a solução SOS Online Backup, que além de permitir o backup de várias máquinas, guarda inclusive os arquivos de mídias externas, tais como pendrives e HDs externos, sincroniza os arquivos assim que algum deles é alterado e inclusive disponibiliza uma aplicação de backup para o iPhone. O custo é de US$9,95 por mês para até 5 PCs e 50GB de espaço.

Mas o usuário doméstico brasileiro não fica dependente apenas de soluções americanas, se não quiser. A McAfee oferece um serviço de backup ilimitado por R$136,00 anuais, e os computadores da Dell já vêm com um serviço de backup gratuito por um ano, em que o usuário pode armazenar até 30GB de dados. Uma alternativa brasileira de baixo custo para pequenas quantidades é a Online Backup, que cobra R$4,50 por mês por gigabyte armazenado.

Entendo que muitos usuários façam as contas e percebam que vão gastar mais de R$100,00 por ano por qualquer uma dessas alternativas que não sejam gratuitas, e por isso no artigo passado dei a dica de um investimento único: o HD externo. Só que uma coisa tem que ser levada em consideração quando falamos de segurança: custa dinheiro. Alguns de nós crescemos em meio à festa do caqui da pirataria dos anos 80 e 90, em que computadores fabricados legalmente eram piores e muito mais caros que os contrabandeados. Um aplicativo que na loja custa centenas de reais, no camelô custa dez reais. Essa mentalidade leva o usuário a pensar que em informática tudo tem que ser de graça, esquecendo-se que empresas investem pesado para trazer soluções ao mercado. As soluções gratuitas existem, claro, para divulgar serviços e para trazer clientes para as soluções pagas. Esperar que tudo em informática seja de graça, e se recusar a investir em sua própria segurança por causa disso é uma expectativa irreal e um tanto quanto infantil. Quanto mais cedo entendermos isso, mais cedo nos disporemos a fazer os investimentos necessários, e mais cedo aumentaremos nosso nível de segurança em TI.

Até a próxima.

Com que frequência você faz backup?

Muito cuidado com sua resposta a essa pergunta. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ver a pesquisa sobre frequência de backup do site PC Advisor.

Clique aqui para fazer o download gratuito do SyncToy.

Para ler esse artigo, clique no botão abaixo.

Uma pesquisa em andamento no site da PC Advisor informa que 30% dos pesquisados fazem backup de seus dados diariamente, e 35% fazem backup semanalmente. Os demais pesquisados (e há mais de 1500 respondentes até agora) fazem backups mensais, quase nunca ou nunca, o que é lamentável.

Acho que esses dados não refletem a realidade aqui no Brasil, e gostaria da opinião de vocês, leitores e ouvintes do 5 Minutos de Segurança sobre o assunto. Sei que as respostas não serão estatisticamente significativas em relação à população brasileira, mas pelo menos eu gostaria de saber como esse assunto anda por aqui por essas verdes páginas. Gostaria de ser agradavelmente surpreendido com estatísticas favoráveis, mas acho que estamos todos aquém do que seria esperado. Vamos ver.

Para quem gostaria de melhorar esse quesito, a sugestão é um investimento em uma mídia externa de gravação. O backup em CDs e DVDs resolve o assunto, claro, mas tem desvantagens. Uma delas é que as mídias vendidas no Brasil são muitas vezes de péssima qualidade, e não dá para garantir que dados gravados agora de manhã estarão disponíveis no período da tarde, por incrível que pareça. Outra desvantagem é o gerenciamento das mídias, que se acumulam e tendem a ficar desorganizadas se o usuário não mantiver uma disciplina militar sobre o assunto.

O investimento sugerido, portanto, é em um HD externo. Fiz algumas pesquisas de preço para fins desse artigo e encontrei HDs externos em lojas on-line por R$169,00 e os mesmos em sites de leilão on-line entre R$95,00 e R$150,00. Ou seja, não é um preço assim tão alto para se pagar pela tranquilidade que se vai obter de um backup periódico e automático.

Mas como fazer com que esse backup fique periódico e automático? Minha sugestão é a adoção de um aplicativo gratuito chamado SyncToy, que faz a sincronização entre pastas. Funciona assim: o usuário cria no HD externo as pastas de seu computador que quer sincronizar, e cria pares de sincronização no SyncToy. Dessa forma, toda vez que alterar um arquivo em seu computador presente em uma das pastas a ser preservada, quando acoplar o HD externo em uma entrada USB, o SyncToy imediatamente faz o backup. A partir daí, o usuário só precisa criar a disciplina de acoplar o HD externo ao computador uma vez por dia, de preferência ao final do uso da máquina, quando for desligar a mesma.

É ou não é moleza?

Bem, aproveitando o ensejo, está lançada a partir de hoje nossa enquete da semana. Toda sexta-feira vou criar uma enquete nova, para ver como nossos leitores e ouvintes estão se comportando com relação a vários aspectos de segurança. Não deixem de votar, OK?

Bom feriado e até a próxima. O Blog volta na terça-feira, dia 16/11.

Boa notícia: Brasil é campeão em preocupação

O Brasil é o país que mais está preocupado com relação à segurança. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler os resultados do Brasil da pesquisa da Unisys (PDF).

Para ler esse artigo, clique no botão abaixo.

A versão de novembro de um relatório semestral da Unisys aponta o Brasil como sendo o “campeão mundial” em preocupação com a segurança, e em minha humilde opinião essa é uma excelente notícia.

O índice é calculado com base nas preocupações do cidadão com vários aspectos de segurança, sendo que mesmo a preocupação com epidemias entra na composição do índice, que vai de zero a 300. O Brasil ocupa a primeira posição com a marca de 186, um crescimento substancial dos 166 pontos da pesquisa de abril.

A pesquisa foca quatro aspectos principais: segurança nacional, segurança financeira, segurança na Internet e segurança pessoal. No quesito segurança nacional, 79% da população se preocupam com a possibilidade de uma epidemia, e com o combate à epidemia de dengue já se arrastando desde a década de 90, há boas razões para esta preocupação, penso eu. No quesito segurança financeira, 85% dos brasileiros demonstram preocupação com o roubo de suas credenciais bancárias e cartão de crédito. No quesito segurança na Internet, 60% estão extremamente preocupados ou muito preocupados com vírus e invasões em seus computadores. No quesito segurança pessoal, 77% estão extremamente preocupados ou muito preocupados com a utilização não autorizada de informações pessoais.

Digo que são boas notícias porque esta preocupação indica que nós brasileiros estamos cada vez mais cientes dos problemas de segurança, e este é o primeiro passo para resolver as questões levantadas. Ninguém se preocupa com os problemas de que desconhece, não é verdade? E quando ficamos sabendo de um problema, a preocupação que surge — e é natural que surja — vai ser resolvida ou pelo menos reduzida quando tomarmos as ações necessárias. A preocupação, em outras palavras, deve nos impulsionar à ação, e no caso da segurança, essa ação deve começar pela instrução. Pronto, caí na minha ladainha de sempre: vamos nos educar quanto às questões de segurança, meu povo, pois assim reduziremos as preocupações. A própria pesquisa da Unisys fornece indícios de que isso funciona: na questão da preocupação com epidemias, quanto maior a escolaridade, menor a preocupação. E por quê? Porque com a instrução maior o indivíduo sabe que providências tomar para evitar sofrer as consequências de uma epidemia. Apenas aprendendo sobre os problemas e ameaças potenciais, e sobre como preveni-los é que vamos conseguir reduzir nosso nível de preocupação.

Ao contrário, se não fizermos nada, de um lado sofreremos as consequências dolorosas de nos deixarmos ao “Deus dará”, e do outro, ficaremos entregues às reclamações inúteis contra bandidos e contra as autoridades que não fazem nada, sem perceber que se nós fizermos alguma coisa, o problema se resolve mais rápida e eficientemente.

Até a próxima.

Microsoft corrige falhas, mas IE continua vulnerável

As correções lançadas ontem pela Microsoft não corrigem a vulnerabilidade que deixa o Internet Explorer permeável a ataques. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de John Leyden sobre o novo toolkit de exploração da vulnerabilidade da falha no Internet Explorer e aqui para ler o boletim de segurança da Microsoft com a solução paliativa via “Fix it”.

Para ler esse artigo, clique no botão abaixo.

A Microsoft lançou ontem a correção para 11 falhas em seus produtos, incluindo problemas no Office e nos sistemas operacionais Windows.

O que mais chama a atenção nesse pacote de correções, no entanto, é o fato de que a vulnerabilidade no Internet Explorer descoberta recentemente e sobre a qual falei aqui no 5 Minutos de Segurança no artigo Nova falha no Internet Explorer exige atenção não foi corrigida ainda. Isso significa que as dicas passadas no referido artigo continuam válidas, até porque já surgiram até ferramentas de exploração da vulnerabilidade que facilitam o ataque, como relatou John Leyden essa semana no The Register.

Diante da seriedade dessa falha, a própria Microsoft lançou uma solução paliativa via mecanismo de “Fix it”, descrita em um boletim da empresa cujo acesso é dado na sessão de links desse artigo que você está lendo.

As ações recomendadas, portanto, são: aplicar as correções da Microsoft em seu computador, ler o boletim com as instruções de “Fix it” e aplicá-las o quanto antes, e ficar atento para a correção definitiva do Internet Explorer.

Por fim, um aluno sugeriu que eu tranquilizasse os usuários que usam outros navegadores, mas acho isso um equívoco: há uma enorme quantidade de sites que só são abertos corretamente no Internet Explorer, e a maioria de nós que migramos para outros navegadores recorremos ao navegador da Microsoft de vez em quando. Ou seja: nada de baixar a guarda nesse caso só porque você usa o Firefox, o Chrome, o Safari, o Opera ou qualquer outro navegador em seu dia-a-dia.

Até a próxima.