5 Minutos de Segurança

Enfim, a vida continua...

2012-01-03T21:52:00.005-02:00

Caros amigos.

Este blog foi meu "lar" virtual durante quase dois anos, e vocês, leitores e amigos, foram parte de minha família virtual durante esse tempo. Não tenho como agradecer adequadamente o incentivo que me deram, dia após dia, para que eu sempre me superasse nas infromações aqui compartilhadas.

Infelizmente não continuarei com esse trabalho, em função de minhas atribuições de diretor e sócio na Moneo Métodos, Projetos e Tecnologia, que é mais que uma empresa: é também uma família para mim. Lá, no site que ajudei a remodelar, estarei periodicamente, colaborando no blog Fora da Caixa com assuntos não mais ligados a segurança, mas sim à Gestão de Projetos e mesmo com alguns devaneios ligados ao mundo dos negócios, mas de forma mais descompromissada.

Fica aqui o meu convite para que apareçam por lá, onde estamos criando um local de fomento às discussões e ao aprendizado.

Fica também o meu muito obrigado pelo carinho e pelo apoio.

E, para não perder o hábito: antivírus sempre atualizado, cuidado com onde você navega, olho aberto para o phishing, cuidado com a pirataria, com os golpes, com os hackers...

um abração a todos, e um excelente 2012.

Ruy

Convites falsos do Google+

2011-07-08T09:25:00.000-03:00

Muita gente que gosta de redes sociais está atrás de um convite para entrar no Google+. Quem está com pressa pode encontrar encrenca...

Audio via YouTube

Clique aqui para ler o artigo de de Fabio Assolini no blog Securelist sobre o falso convite do Google+.

Para ler esse artigo, clique no botão abaixo.

Seu e-mail foi comprometido?

2011-06-30T08:35:00.002-03:00

Com o crescimento explosivo dos ataques de hackers, será que seu e-mail está na lista dos que foram comprometidos?

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O phishing de papel

2011-06-27T09:05:00.002-03:00

Espertos com a rejeição aos e-mails de phishing, os bandidos recorrem a uma tecnologia velha: o papel.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O LulzSec e você

2011-06-15T08:52:00.001-03:00

Que tipo de problemas o novo grupo de hackers LulzSec pode trazer para você? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Ontem, a exemplo do que têm sido as últimas duas semanas, foi um dia interessante no mundo dos hackers. O grupo que se intitula “LulzSec” promoveu sua “Titanic Takeover Tuesday”, ou “Terça Titânica de Ataques”, em tradução livre. O grupo derrubou nada menos do que cinco grandes sites, quatro deles de jogos on-line.

“Tudo bem, mas e eu com isso?” disse-me um amigo quando eu empolgadamente relatei os ataques e seus resultados. A pergunta é válida, e vale uma boa análise.

O LulzSec é um grupo novo, e seu nome significa algo na linha de “rindo alto de sua segurança”, ou “tirando sarro de sua segurança”. É um grupo diferente, pois aparentemente não tem objetivos de levar vantagem financeira com seus ataques. E por que atacam, então? Simples: para mostrar para todo mundo que a segurança de seus alvos é falha, risível até.

O grupo invade sites e publica dados de usuários, impede o acesso a sites, publica fotos e e-mails privados de executivos e usuários, e no geral está causando uma balbúrdia enorme. O objetivo é, como já disse, alertar para as falhas gritantes na segurança. E isso, que pode parecer uma má notícia (e para muita gente é), na verdade é um movimento que no médio prazo deve contribuir — e muito — para a segurança na Internet.

Tem muito tempo que consultores e especialistas gritam aos quatro ventos que a segurança na grande maioria dos casos é ruim, e a maioria das instituições só escuta quando algo errado acontece. Vários desses especialistas, aposto, estão dizendo “eu avisei” e rindo por dentro. O raciocínio dos administradores para justificar sua inércia é mais ou menos assim: com são centenas de milhões de sites no mundo todo, a probabilidade de algo acontecer com o meu site especificamente é baixa, e portanto eu não me mexo (ou me mexo só o suficiente para dormir tranquilo à noite). Só que aí vem um grupo de hackers atacando a torto e a direito, causando problemas em dezenas de sites em alguns poucos dias, e prometendo mais e mais, apesar de estarem sendo caçados pelas autoridades internacionais. Melhor eu me mexer, não? Até porque, aposto que os hackers do LuzSec vão servir de “modelo” para vários outros grupos de hackers, que vão querer participar da festa, multiplicando os ataques. Esse raciocínio, aliás, são favas contadas, bastando para isso que o grupo se mantenha livre das autoridades por mais algumas semanas. Com a possibilidade de ataques crescendo algumas ordens de grandeza, bastante gente vai começar a repensar a segurança do ambiente e dos dados que oferece na Internet. E isso é uma boa notícia, mesmo que vindo de um grupo essencialmente formado por foras da lei.

O usuário doméstico não fica livre dos efeitos desses ataques. O usuário corporativo também não, aliás. No ataques à Sony, por exemplo, dados de um milhão de usuários do serviço foram publicados para quem tivesse paciência de baixa-los. Nos ataques de ontem, outros tantos milhões de jogadores on-line ficaram sem acesso aos seus jogos, e mesmo assim deveriam se dar por felizes, pois o grupo só parou os sites, quando poderia tê-los invadido e publicado dados privados de um contingente enorme de usuários. “E eu com isso?” Eu “um monte” com isso.

E que providências podemos tomar, como usuários domésticos? Poucas. Podemos (e devemos, se tivermos tempo e paciência) escrever algumas mensagens para nossos serviços on-line expressando nossa preocupação. Sei que esse tipo de engajamento não é lá muito o perfil do usuário brasileiro, mas creio que é só assim, reclamando (a exemplo do que fazemos no PROCON quando nos sentimos lesados) que poderemos contribuir para as mudanças necessárias nos nossos provedores de serviço.

No mais, é rir com o grupo, à medida que assistimos enquanto trazem um pouco de caos à Internet, caos esse que resulta do desrespeito à segurança que muita gente demonstra dia sim, outro também.

Até a próxima.

Alguns aplicativos úteis de segurança

2011-06-09T11:32:00.001-03:00

Alguns aplicativos gratuitos para melhorar a segurança de seu notebook. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo da PC World com recomendações de 29 aplicativos úteis para o seu notebook.

Para ler esse artigo, clique no botão abaixo.

O site da revista PC World publicou recentemente um artigo com 29 aplicativos úteis para notebooks, e a lista contempla vários pequenos programas de segurança que de fato são bastante úteis para usuários de notebooks baseados em Windows.

Já tive experiência própria com 3 deles, e posso recomendá-los pessoalmente:

O primeiro é o TrueCrypt, um aplicativo para criptografar discos ou partições de um disco que é a salvação da lavoura em caso de perda ou roubo de seu notebook, Já falei sobre o TrueCrypt aqui no 5 Minutos de Segurança, no artigo Exemplo de boa criptografia. Para lembrar, o FBI desistiu de tentar decifrar dois terabytes de dados confiscados em computadores de Daniel Dantas, do Opportunity, dados esses criptografados com o TrueCrypt. Acho que isso fala por si só. Com nossos notebooks sendo alvo constante de ladrões, vale a pena usar uma ferramenta que de fato nos proteja em caso de perda do precioso hardware.

O segundo é o Hotspot Shield, um aplicativo também gratuito (mas “movido a anúncios”) que protege a comunicação em caso de estarmos ligados a alguma rede pública, em um shopping center ou um aeroporto, por exemplo. Vulnerabilidades tais como o Firesheep podem ser usadas para capturar o fluxo de comunicações em redes abertas, e o Hotspot Shield criptografa o fluxo de dados, impedindo que seja lido pelos espertinhos de plantão. Sugiro que os usuários que queiram instalá-lo declinem da instalação dos toolbars oferecidos, pois nada adicionam à aplicação, e também prestem atenção senão a aplicação muda sua página inicial no navegador e a máquina de busca padrão. Fora esses cuidados iniciais na instalação, o aplicativo é simples, robusto e não fica no caminho.

O terceiro é o Comodo, um firewall pessoal de uso geral que impede acessos externos ao computador. É um aplicativo também de simples instalação, e também transparente na hora do uso. No ranking de firewalls o Comodo ocupa uma posição superior ao firewall da Microsoft, que já vem de fábrica em notebooks rodando Windows. E para quem também está pensando em trocar de antivírus, a Comodo oferece um “combo”, empacotando firewall e antivírus junto.

Alguns dos demais aplicativos de segurança parecem bacanas, e certamente pretendo testar uns dois ou três. Penso que valha a pena a todos nós pelo menos nos inteirarmos sobre essas aplicações.

Mudando de assunto, o trabalho está um absurdo em termos de volume. Ser empresário e por uma empresa em pé não é fácil, ainda que meu sócio esteja carregando mais da metade do piano (bem mais, aliás). Em função disso, vou ter que dar uma maneirada por aqui, o que já pode ser visto na falta de um artigo na segunda-feira. Paciência. De agora em diante, só vou atualizar o blog esporadicamente, pelo menos até a coisa ficar menos “violenta”. Bom, aqui tem material de segurança “para mais de metro”, e continuarei a responder perguntas, quando vierem. Meu e-mail de contato é ruy[PONTO]flavio[ARROBA]gmail[PONTO]com.

Até a próxima, seja lá quando for.

Macs: a hora da onça beber água

2011-06-02T18:13:00.002-03:00

Será que precisamos mesmo de antivírus no Mac? E se precisamos, será que é suficiente? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Mauro pergunta:

“Tenho um Mac e nunca me preocupei com segurança. Agora estou ouvindo falar que tem vírus aparecendo para essa plataforma, mas não vi nada de errado com minha máquina ainda. O site da Apple continua afirmando que os Macs não sofrem com a praga dos vírus. Será que vou ter que colocar antivírus no meu computador, ou continuo confiando na Apple?”

Pois é, Mauro, tem também um monte de políticos por aí jurando “honestidade impávida”, mesmo diante de condenações na justiça. Será que devemos confiar em suas afirmações? Não que a Apple esteja deliberadamente tentando prejudicar e enganar seus clientes, mas o fato é que marketing é uma coisa, e a realidade é outra.

O mercado de computadores pessoais já tem os Macs com quase 10% de participação, à frente (bem à frente, aliás) dos computadores que rodam Linux, e esse percentual já é bem interessante para os bandidos de plantão. Um agravante para essa estatística é que o preço dos Macs é bem mais “salgado” que os preços de PCs baseados em Windows, o que denota que esses 10% de usuários tem melhores condições econômicas, fazendo-os alvos ainda mais apetitosos para os bandidos. É claro que uma hora ou outra eles iriam acordar, não é verdade?

Fora a meia dúzia de gatos pingados de códigos maliciosos mirando os Macs que têm surgido nos últimos anos, as últimas duas semanas trouxeram uma nova ameaça que está causando um enorme burburinho: o MacDefender. Trata-se de um falso antivírus clássico, daqueles que surgem aos montes nos PCs, e que os usuários já estão treinados a identificar e ignorar. Mas nos Macs, justamente porque vírus são coisas exóticas, o estrago está sendo enorme.

E sabe por que, Mauro? Justamente por causa da atitude dos usuários de Mac, atitude essa que espelha a sua quando diz: “Tenho um Mac e nunca me preocupei com segurança.” Em suma, a pseudo-sensação de segurança que os usuários de Mac tiram do histórico desta plataforma os tem deixado cegos para o baita problema que segurança hoje é para todos os usuários de todas as plataformas do mundo todo. Usuários de Mac e de outras plataformas menos comuns que o Windows estão francamente atrasados na atitude que deveriam ter para com as tecnologias digitais.

E o que venho dizendo há quase dois anos neste blog? que segurança não se tira de ferramentas tecnológicas (tais como antivírus e firewalls), mas sim de um preparo pessoal, de uma preocupação constante e de um conhecimento construído ao longo do tempo sobre as ameaças e problemas potenciais.

Se você, Mauro, adotar uma ferramenta de antivírus para seu Mac (o que, aliás, você deveria fazer, sim), só vai estar resolvendo uma pequena parte do problema. É equivalente a tomar algumas gotas de Novalgina quando se está com febre: combate o sintoma imediato, mas não atua sobre a causa. Adote, claro, um antivírus, que é tão importante em Macs quanto em máquinas Windows, Mauro, mas não pare por aí. Vá estudar sobre segurança, vá se preparar para os problemas que fatalmente vão surgir em Macs daqui para frente, vá desenvolver um cuidado com seus hábitos de navegação, vá entender como se dão as invasões e os ataques. Vá, enfim, Mauro, se preparar adequadamente. Senão, você corre o risco de entrar nas mesmas frias antigas que os usuários de Windows estão aprendendo a evitar há muito tempo.

Até a próxima.

A pergunta secreta

2011-05-31T06:07:00.001-03:00

Para que serve a tal “pergunta secreta” quando nos cadastramos em algum serviço Web? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Um ouvinte que não se identifica pergunta:

“Em alguns sites que me cadastro tem uma tal de pergunta secreta, que tenho que escolher e dar a resposta. Tem sempre coisas como qual o nome do meu bicho de estimação ou o nome de solteiro da minha mãe, e eu tenho que dar uma resposta escrita. Para que serve isso? Eles estão coletando informações indevidas sobre mim?”

A pergunta é interessante e bem pertinente, mas não se trata do que você está pensando. Muito bom, aliás, que você se preocupe com esta questão de privacidade, viu... Em primeiro lugar, fique tranquilo: o objetivo destas questões não é coletar informações a seu respeito, mas sim facilitar sua vida no caso de você perder a senha de acesso ao site.

Funciona assim: caso você um dia se esqueça da senha no site que te pediu para criar uma pergunta e uma resposta, ambas secretas, esse site vai te fazer a pergunta escolhida. Se você der a resposta certa para a pergunta — aquela resposta que você determinou durante o processo de cadastro — o site te deixa escolher uma nova senha. As respostas escolhidas só são usadas para isso, e se você ainda estiver desconfiado, nada te impede de escolher uma resposta “nada a ver” com a pergunta, desde que você se lembre na hora H.

Eu uso a seguinte estratégia para as perguntas e respostas secretas: escolho sempre uma pergunta diferente, e minha resposta é sempre a mesma. Isso poderia ser um risco para minha segurança, pois se algum espertinho deduzisse minha resposta única, teria acesso a todas as minhas contas em sites na Web. Minha estratégia para evitar essa possibilidade é usar uma resposta impossível de ser deduzida. Uso como resposta uma frase comprida, complexa, que eu mesmo criei, e que eu nunca escrevi. Desta forma garanto que a mesma não será deduzida por algum bandido que queira acessar minhas contas.

Em suma, caro ouvinte anônimo, fique tranquilo. As perguntas e respostas secretas jogam a seu favor, e se forem usadas com cuidado, são um baita facilitador em tempos de inúmeros sites, inúmeros logins e inúmeras senhas.

Perdão pelo atraso no post. A vida de blogueiro já não era fácil. Quando vira uma vida de empresário e blogueiro, então, aí fica mais difícil ainda.

Até a próxima.

Spam em baixa, atenção em alta

2011-05-26T11:42:00.001-03:00

Um relatório da Avira mostra que o spam está em baixa, o que significa que precisamos manter a atenção em alta. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo no site Help Net Security sobre a situação atual do spam na Internet.

Para ler esse artigo, clique no botão abaixo.

A Avira publicou recentemente o resultado de uma pesquisa sobre spam, entre usuários. Os resultados são alentadores, e mostram que esse velho problema está sendo controlado de forma eficiente, causando cada vez menos problemas entre os usuários.

Um dado interessante sobre spam é o seguinte: de acordo com o grupo de trabalho anti-abuso de mensagens, o MAWG, entre 88% e 92% dos e-mails em circulação na Internet são spam. O fato de que bem menos de 9 a cada 10 mensagens que chegam a sua caixa de entrada são spam, atesta a qualidade dos filtros e mecanismos que tentam erradicar essa praga.

A pesquisa da Avira informa que dos 55% dos usuários que adotam ferramentas de anti-spam, 45% estão satisfeitos, e apenas 10% estão insatisfeitos. Dos 45% dos que não usam, 19% afirmam depender das ferramentas disponibilizadas pelos provedores de serviço de e-mail.

Eu, particularmente, me encaixo nesses últimos 19%, e confesso que não vejo spam como um problema em minha vida. Meu provedor de e-mail profissional faz um excelente serviço em bloquear spam, e nunca tive um caso em que perdi uma mensagem importante em função dessa filtragem. Já no plano pessoal, uso o Gmail, que também faz um excelente serviço em bloquear spam, dando-nos inclusive a oportunidade de classificar mensagens que chegam como sendo spam, o que evita a chegada de mais mensagens do mesmo remetente no futuro. Em dias ruins recebo 3 mensagens de spam no Gmail, e não passa disso.

Outro dado da pesquisa mostra que 72% dos usuários pesquisados recebem 10 mensagens ou menos de spam por dia, o que parece ser um número bem razoável. E o que mostra que as soluções estão funcionando.

Essa guerra, claro, está longe de terminar. Os spammers sempre acham novas formas de divulgar seu lixo, e mantermo-nos atentos é fundamental para evitar que o problema volte a se agravar.

Nesse sentido, as dicas são: não clicar em nada que venha de spam, não responder a spam de jeito nenhum (nem para pedir o descadastramento), não comprar nada oferecido via spam, e tomar muito cuidado com os serviços e sites onde nos cadastramos. Eu sugiro fortemente termos um endereço de e-mail descartável para nos cadastrarmos em sites na Web, pois assim se esse cadastro gerar spam no futuro, o lixo vai para o endereço descartável, e não para nossa caixa de entrada.

Até a próxima.

Três regras simples

2011-05-23T07:37:00.001-03:00

Um dos mais renomados jornalistas cobrindo o cenário de segurança da informação oferece três regras básicas para que nos mantenhamos seguros on-line. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Brian Krebs em que ele propõe as três regras básicas de segurança.

Clique aqui para ler um artigo no Digital Journal sobre a falsa atualização de segurança da Microsoft.

Para ler esse artigo, clique no botão abaixo.

O jornalista Brian Krebs publicou recentemente uma lista com três pequenas regras que nos ajudam a manter a maioria das ameaças longe de nossas máquinas. A lista é simples, elegante e a meu ver brutalmente eficaz. Vamos a ela:

A primeira regra de Krebs é: “se você não estava procurando, não instale.”

É impressionante a quantidade de e-mails, links, janelas de pop-up, sites, etc. que tentam nos enganar, propondo-nos a instalação desse ou daquele aplicativo cujo suposto objetivo é melhorar o desempenho da máquina, realizar alguma tarefa interessante, ou mesmo “proteger” nosso computador. Balela pura, na vasta maioria dos casos. A regra de Krebs, quando seguida à risca já evita todos esses tipos de golpe e mais alguns. Lembram dos artigos passados do 5 Minutos de Segurança em que comentei acerca dos falsos filmes piratas baixados da Internet que exigem um “player” especial? Pois é: você não estava procurando por esse player, e se instalar, vai entrar em fria. Outra: hoje mesmo o Digital Journal publica uma matéria em que um falso e-mail da Microsoft está circulando, tentando fazer com que os usuários instalem uma suposta atualização de segurança que vai do Windows 98 até o Windows 7. Até parece. Até parece que a Microsoft vai mandar e-mail avisando sobre atualizações de segurança. Até parece que uma atualização de segurança vai se preocupar com o Windows 98, um sistema operacional para o qual a Microsoft não oferece mais suporte desde 2006. Agora, se você estava procurando pelo software, certifique-se de que o está buscando na fonte oficial (o site do fabricante, na maioria dos casos), e que a cópia é legalizada, claro.

A segunda regra de Krebs é: “se você instalou, atualize.”

Vivo repetindo aqui que as atualizações de software são uma forma bem eficaz de evitar invasões e vírus, e já sugeri várias vezes a adoção de soluções gratuitas tais como o Secunia PSI para nos avisar quais aplicativos em nosso computador precisam de atualização. Usuários de Mac já têm no Software Update a ferramenta adequada para esse propósito. O fato é que inúmeras são as vulnerabilidades que podem ser facilmente evitadas se mantivermos nossos sistemas operacionais e nossos aplicativos atualizados, pois os bandidos investem boa parte de seu tempo buscando por essas vulnerabilidades, e os fabricantes pacientemente vão corrigindo os erros encontrados. Se não atualizamos regularmente nossos aplicativos e sistemas operacionais, deixamos portas abertas para os bandidos e para os códigos maliciosos. Simples assim.

A terceira regra de Krebs é: “se você não precisa mais, apague.”

Essa regra, quando seguida adequadamente, além de contribuir para a segurança de nosso computador, mantém o desempenho em dia também. Os fabricantes empacotam todo tipo de porcaria nas máquinas que compramos, a maioria delas sendo inútil em nosso dia-a-dia. Além disso, ao longo da vida útil da máquina, instalamos vários aplicativos, grandes e pequenos, úteis e inúteis na máquina. Deixá-los lá significa desperdiçar recursos, além de adicionar aos aplicativos que deveríamos atualizar periodicamente. Com os aplicativos inúteis fora da máquina, ganhamos em desempenho e nos livramos de potenciais pontos de invasão. Outra dica interessante é verificarmos de tempos em tempos quais aplicativos são inicializados quando ligamos o computador. O HijackThis é uma ferramenta gratuita da TrendMicro que nos mostra exatamente isso: quais aplicativos são inicializados quando ligamos o computador. Como esses aplicativos consomem memória e processamento, mesmo que não os estejamos usando, é altamente recomendável desativarmos a inicialização daqueles de que não precisamos mais. Obviamente devemos entender o propósito de cada um antes de sairmos desinstalando, não é verdade?

A lista de Krebs é muito útil e de uma simplicidade notável. Entendo que o jornalista tenha focado nos aplicativos da máquina, mas eu adicionaria mais uma sugestão: eliminar o privilégio de administrador no uso diário da máquina. Dessa forma, se algum código malicioso nos escapa, ficaremos sabendo que o mesmo está tentando se instalar, o que nos dá a oportunidade necessária para reagir e impedir a ação indesejada.

Até a próxima.

Ops...

2011-05-19T06:00:00.001-03:00

Hoje não teremos artigo em função de um (tomara que pequeno) "incêndio" profissional a apagar.

Nos vemos na segunda-feira.

Uma boa notícia, finalmente.

2011-05-16T05:44:00.001-03:00

O percentual de usuários que fazem backup está subindo. E já não era sem tempo.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo no blog da F-Secure sobre o crescimento do percentual de usuários que fazem backup regularmente.

Para ler esse artigo, clique no botão abaixo.

Nossos "apagões" em segurança

2011-05-12T12:30:00.001-03:00

Segurança é uma questão importante, e todo mundo sabe disso. Mas será que realmente nos importamos o tempo todo com esse assunto? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Noa Bar-Yosef, no site da Security Week.

Para ler esse artigo, clique no botão abaixo.

Ontem li um artigo bastante interessante da especialista em segurança Noa Bar-Yosef, da empresa Imperva. No artigo, Bar-Yosef discute se os usuários domésticos realmente se preocupam com segurança, e chega a conclusões bastante interessantes. A autora menciona um estudo da Norton do fim de 2010, que mostra que mais de 50% dos usuários de serviços on-line se preocupam com sua segurança, um contingente 35% superior ao do ano anterior, o que mostra que cada vez mais gente pensa no assunto. Ainda assim, 65% dos usuários globais de serviços da Web relatam ter tido problemas de segurança, indo desde as infecções de vírus, até o roubo de credenciais e violações de contas bancarias. Em suma: apesar de a maioria de nós se preocupar, só essa preocupação não basta para nos manter seguros. Ainda existem muitas ocasiões em que deixamos nossas preocupações de lado, e é por isso que frequentemente entramos em fria.

Dois exemplos fornecidos por Bar-Yosef em seu artigo são emblemáticos. O primeiro diz respeito às senhas. Em uma reportagem recente do New York Times os resultados de uma pesquisa revelam que a senha mais comum em sites que requerem usuário e senha ainda é “123456” com o segundo lugar ficando com “12345”. Vinte anos atrás a situação era exatamente a mesma, e ainda que as ameaças tenham crescido em ordens de grandeza, ainda abusamos da sorte com senhas fracas. E não vá me dizer que a combinação do nome do seu filho com a data de aniversário dele é uma senha forte, porque não é. E não venha também me dizer que não vai trocar porque já está acostumado com essa senha, porque isso não é desculpa que se apresente.

O segundo ponto dado como exemplo são as aplicações que baixamos em nossos smartphone e em nossas redes sociais. Quando um usuário vai decidir se baixa ou não uma aplicação, sua primeira preocupação é se a dita cuja faz o que ele quer. A segunda preocupação é se a dita cuja é de fácil instalação e operação. E para por aí. Segurança? Que nada... Por essas e por outras a Google teve que matar mais de 50 aplicações maliciosas direto nos dispositivos Android de seus usuários: por mais que a empresa tenha avisado da safadeza, nem todos os usuários apagaram as aplicações prejudiciais.

Esses apagões mostram que ainda falta uma dose cavalar de maturidade dos usuários domésticos quanto à sua própria segurança. Esses apagões, se não dermos fim a eles, continuarão a nos colocar em risco, e continuarão a incentivar os bandidos a virem atrás de nossos valores. Estou confiante de que pelo menos os leitores e ouvintes do 5 Minutos de Segurança estejam eliminando esses apagões de suas vidas. Façam isso, amigos, senão vou desanimar de continuar com esse blog.

Até a próxima.

E se meu cartão de crédito foi roubado por um dos hackers da rede da Sony?

2011-05-09T08:32:00.004-03:00

O que fazer se você está com medo que seu cartão de crédito foi comprometido na recente invasão da rede da Sony? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

A ouvinte Gisele mandou a seguinte pergunta:

“Desde o natal sou usuária da rede da Sony, e na semana passada eu descobri que a rede foi invadida por hackers que roubaram cartões de créditos dos usuários da rede sem que a Sony diga o que a gente tem que fazer. Alguma dica?”

Bom, Gisele, em primeiro lugar, o que eu tenho a te dizer é: nada de pânico. Dados de dezenas de milhões de usuários foram roubados, e se o seu está no meio, você deve, sim, se preocupar, mas não há motivo para entrar em pânico.

Li vários relatos do problema, alguns falando em 77 milhões de usuários comprometidos, outros falando em até 100 milhões de usuários. Seja lá qual for o número, o problema parece ser grave, e os usuários estão certos de estarem preocupados. Os dados de cartão de crédito, se foram realmente comprometidos, podem servir para que os ciber-crimonosos produzam clones dos cartões, e com eles façam compras em nome dos usuários legítimos. É ou não é preocupante?

Bem, para evitar o prejuízo financeiro, o necessário é muita atenção, e um pouco de conhecimento sobre como funcionam os cartões de crédito.

A atenção a gente usa ao ficar “de butuca” na conta do cartão. Entre em contato com a operadora e avise que você era usuária cadastrada da rede da Sony, e que está com medo de que seu cartão seja usado indevidamente. Pergunte sobre a possibilidade de trocar o número do cartão, cancelando o que você tem hoje, o que vai resolver o problema. Não esqueça de anotar o número do protocolo dessa ligação e guarda-lo em lugar seguro. Se eles acharem que não é necessário, passe à monitorar seu cartão mais de perto pelas próximas semanas. Certamente tem um número de telefone para o qual você pode ligar gratuitamente e ficar sabendo das últimas transações e seus valores. Se, em algum momento nessa monitoração, você perceber que ocorreu alguma transação que não foi você quem fez, ligue novamente para o serviço de atendimento e avise da transação indevida. Use o protocolo da ligação anterior para mostrar que você já havia avisado sobre o problema, e peça o cancelamento da transação e a substituição imediata do cartão. Não acredito que eles vão negar o pedido diante de uma evidência, especialmente uma que você pode levar a um tribunal de pequenas causas, se por acaso eles encrencarem.

No mais, Gisele, saiba que a responsabilidade pelo ocorrido não foi sua: você e os milhões de outros usuários da rede não fizeram nada de errado. O erro aqui foi da Sony, que não protegeu adequadamente seus dados. Se de fato houve vazamento de números de cartão de crédito, o ônus deve cair sobre a Sony, e sua operadora de cartão de crédito sabe disso. Até por isso eles não deverão impor muitos problemas para substituir o seu.

Até a próxima.

Comparativo de Antivírus 2011

2011-05-05T10:15:00.000-03:00

Pensando em trocar de antivírus? Desconfiando da efetividade da solução que você adotou? Quer ver como anda a qualidade das várias soluções de mercado? Ouça o artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para acessar o relatório semestral da AV-Comparatives (PDF).

Para ler esse artigo, clique no botão abaixo.

A AV-Comparatives, instituição independente que executa testes periódicos em soluções de antimalware publicou recentemente os resultados do teste semestral das soluções de mercado com relação à efetividade das varreduras sob demanda, isto é, iniciadas pelo usuário.

O teste foi realizado com um conjunto de 400.000 códigos maliciosos ativos, sendo que 79,2% desses códigos eram cavalos de troia; 10,6% eram backdoors e bots; 5,8% eram worms; e os restante 4,4% eram outros tipos de vírus e códigos maliciosos. Essas percentagens foram usadas por representarem o que encontramos no mundo real, claro.

Os testes foram realizados levando em conta 3 quesitos: percentual de códigos maliciosos detectados, percentual de falsos positivos e velocidade de varredura. Vejamos alguns dos resultados:

No quesito percentual de códigos maliciosos detectados o grande vencedor foi o G-Data, com 99,8% dos códigos maliciosos detectados, seguido de perto peloTrustport, com 99,2%, e pelo Avast, com 98,4%.

O quesito do percentual de falsos positivos mais ou menos inverte a tabela, pois quem é mais efetivo em detectar códigos maliciosos tende a jogar alguns arquivos legítimos no mesmo saco, o que também é um problema. A razão para isso ser um problema é simples: acarreta perda de produtividade. Imagine você procurar um arquivo importante em seu disco e não encontrar, pois o mesmo foi posto em quarentena porque seu antivírus pensou — erroneamente — que ele estava infectado. Nesse quesito a solução da McAfee foi a campeã absoluta, com zero falsos positivos, e a solução da Microsoft ficou em segundo lugar, com apenas um falso positivo.

O último quesito, medindo a velocidade de varredura mostrou que poucas são as soluções disponíveis hoje em dia que não atendem à demanda do usuário por velocidade. O Avast foi o campeão nessa categoria, varrendo mais de 16,3 mega-bytes por segundo, um resultado 20% superior ao segundo colocado, o Panda. Ainda assim, soluções com capacidade de varredura superior a 8 mega-bytes por segundo tendem a não ser percebidas como lentas.

Os resultados globais dos testes categorizam as soluções testadas em 4 grupos: Advanced+, Advanced, Standard e Tested. Eu recomendo apenas as soluções que sejam Advanced+, por agregarem o que há de melhor nas soluções. O próprio teste, contudo, avisa que se o usuário não se incomoda em espera, nem liga para falsos positivos, o melhor em termos de detecção são os vencedores do primeiro quesito.

As soluções Advanced+ dessa rodada do teste da AV-Comparatives são 7: Trustport, F-Secure, Bitdefender, AVIRA, eScan, Kaspersky e McAfee. Qualquer uma dessas soluções combinam que há de melhor em soluções de antimalware. O relatório completo tem muitas outras informações interessantes, e vale a pena para quem está pensando em adotar uma solução nova de antivírus.

Até a próxima.

Antes de clicar naquele link "quente"do Osama Bin Laden...

2011-05-03T06:14:00.006-03:00

...que promete fotos e "furos" sobre a operação que levou à sua morte, veja se as mesmas informações estão disponíveis na CNN, no UOL, no Terra, no Yahoo! e em outros portais confiáveis de notícia.

O que não vai faltar é ataque querendo explorar a curiosidade de todos nós quanto a esse assunto.

Mais sobre segurança em smartphones

2011-05-02T11:42:00.001-03:00

Cada vez mais os smartphones são alvo de ataques. Você já está tomando medidas para se prevenir? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Já falei um pouco sobre segurança em smartphones, mas pela quantidade de novos ataques sobre os quais tenho lido, e principalmente porque estes aparelhos estão cada vez mais acessíveis e por consequência são cada vez mais adotados por usuários domésticos e corporativos, penso que seja hora de tratar mais uma vez sobre o assunto. Até porque o risco de invasão de hacker, perda do aparelho ou perda de dados é bem mais real do que o sensacionalismo da semana passada sobre dados de localização geográfica em iPhones e aparelhos rodando o Android.

Não há como encarar seu smartphone de outra forma: ele é um computador de bolso, e como tal, deve ser encarado do mesmo jeito, sob o ponto de vista de segurança. Os dados devem ser protegidos e sua interação com o aparelho e com a Internet através dele devem ser realizados com cuidado, sem “bobeiras”, sem negligência.

Quando digo isso em público, sempre alguém menciona que no caso dos smartphones o problema é menor porque nunca vai haver códigos maliciosos nessas plataformas como há em sistemas operacionais Windows para desktops e notebooks. Eu sempre respondo com a seguinte pergunta: “você mora em uma mansão em um dos bairros mais chiques da cidade, ou numa residência de classe média, sem muitas coisas de valor em casa?” Na vasta maioria dos casos, a pessoa é de classe média, ao que eu replico: “e mesmo assim você tranca suas portas e janelas, além de ter seguro do carro, não é verdade?”

Nesse sentido, independente de os smartphones serem hoje alvo preferencial ou não, o fato é que já são alvo de ataques, e se tornarão mais apetitosos aos bandidos com maior velocidade daqui para frente, à medida que mais de nós os adotarmos e neles colocarmos nossas informações.

E para manter-nos seguros em nossos smartphones, o que fazer?

Bem, basta lembrar das ações que já nos são conhecidas com relação aos nossos computadores. A primeira delas é uma atitude voltada à segurança. Pensar antes de agir e perguntar quais as consequências para nossa segurança das ações que tomamos no smartphone. “Essa aplicação parece bem legal, mas quem a está disponibilizando?” é uma pergunta muito útil, e simboliza a atitude que deve permear 100% do tempo que estivermos usando o smartphone. Perguntas semelhantes devem ser feitas sobre a confiabilidade dos locais onde estivermos navegando, dos links que estivermos clicando e dos e-mails aos quais estivermos respondendo.

A atualização de software é outro ponto importantíssimo nos smartphones, da mesma forma que em nossos computadores. Tanto o sistema operacional quanto os aplicativos que baixamos devem ser atualizados constantemente, pois essas atualizações visam corrigir vulnerabilidades encontradas ao longo do tempo. Nesse quesito é bom lembrar que os principais incidentes globais de segurança ao longo da história da Internet foram causados por vulnerabilidades cujas correções já estavam disponíveis havia meses, mas poucos foram os que aplicaram essas correções.

Adote uma solução de segurança, mantenha-a atualizada, mas não esqueça do assunto depois de instalá-la. Já há soluções de anti-malware e proteção contra invasões para vários dos principais sistemas operacionais de smartphone, e esta é a melhor hora para adotar uma delas, já que os ataques ainda estão em baixa. Bem melhor colocar uma fechadura mais “parruda” na casa antes do que depois de uma invasão, não é mesmo? E depois de adotarmos uma solução, não podemos nos esquecer de manter a cabeça ligada na segurança. A ferramenta ajuda, mas quem tem que fazer a parte mais importante do trabalho somos nós, os usuários.

Por fim, o ponto em que os smartphones diferem dos nossos computadores é a questão do tamanho, o que os torna mais portáveis, mas gera outro problema: tirar o olho deles pode significar não conseguir vê-los nunca mais. Em outras palavras: todo cuidado com a segurança física de seu smartphone é pouco. E como 100% de segurança física não existe, não se esqueça de proteger seu smartphone com senha e ativar mecanismos de localização, para o caso de ele ir parar nas mãos erradas.

Até a próxima.

Seu iPhone sabe por onde você esteve

2011-04-28T19:45:00.001-03:00

O iPhone armazena informações de localização do usuário. Isso é um problema? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo que saiu em O Globo falando sobre o problema de armazenagem dos iPhone e a resposta da Apple.

Clique aqui para ler um artigo de Glev Savov, do Engadget, sobre o problema de armazenagem de dados do iPhone.

Clique aqui para ler um artigo do Ars Technica sobre a armazenagem de dados no Android.

Para ler esse artigo, clique no botão abaixo.

Um ouvinte que pede para não ser identificado pergunta:

“Tenho um iPhone 4 e nunca gostei tanto de um aparelho celular como gosto dele. Um show em todos os aspectos. Agora ando lendo que a Apple armazena informações de localização da gente. Isso não é uma invasão de privacidade? Será que vou ter que trocar meu querido iPhone por isso? Não quero que fiquem sabendo por onde eu ando.”

A questão que você relata veio à tona há uma semana, com dois pesquisadores britânicos publicando os resultados de uma pesquisa sobre o iPhone. Há um arquivo armazenado em todo iPhone chamado “Consolidated.db” (onde o “db” quer dizer “base de dados”) que guarda o dia e a hora em que seu iPhone estava em determinada localização geográfica. Isso é possível com base na localização da torre de celular e no hotspot de Wi-Fi de que você se aproxima.

O que espanta na questão toda é que essa base de dados armazena dados de localização por até um ano, segundo os relatos, o que significa que se alguém se apossar de seu iPhone pode consultar onde você estava naquela tarde de terça-feira em que disse ao seu chefe que foi embora porque estava passando mal. O cara iria mesmo passar mal se pudesse ser constatado que ao invés de ir para casa, o ele foi ao cinema, não é mesmo?

Ontem a Apple veio a público e explicou que os dados são armazenados no aparelho, e nunca são transmitidos para a empresa ou para qualquer outro lugar, e que só são usados por aplicativos (todos escrutinizados e aprovados pela própria Apple, lembre-se bem) para oferecer serviços ao usuário dependendo de onde este se encontre no momento. O armazenamento de um ano de dados foi atribuído a um erro de programação, e será corrigido em breve, reduzindo esse tempo para sete dias.

Se você pensa em vender seu iPhone e comprar outro smartphone por causa disso, caro leitor anônimo, sugiro que não opte por smartphones com o sistema operacional Android, do Google, pois estes fazem a mesma coisa, segundo um artigo de Chris Foresman, do site Ars Technica.

Esse tipo de localização não é nada novo, e já era possível para as operadoras de celular até mesmo lá na longínqua década de 90, quando o serviço ganhou o mundo. A razão pela qual os sequestradores preferem os telefones públicos para se comunicarem com as famílias dos sequestrados é exatamente essa, aliás. Ao se fazer uma chamada de um celular, da para dizer onde a pessoa se encontra com boa precisão, ao contrário do que dizem os filmes em que nunca dá para completar o rastreamento antes do bandido desligar o telefone. Balela pura.

Noves fora, se confiamos há tanto tempo que as operadoras de celular não vão usar nossas informações de localização contra nós, não vejo porque o alarde contra a Apple e contra o Google por essa armazenagem de informações.

Peço desculpas pelo atraso no artigo de hoje. Estou de cama, com uma gripe de lascar, como minha voz atesta.

Até a próxima.

Melhores práticas de segurança na conta Google

2011-04-25T08:54:00.002-03:00

Algumas dicas sobre como manter segura sua conta no Google.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Rick Klau sobre melhores práticas de segurança na conta do Google.

Para ler esse artigo, clique no botão abaixo.

Várias são as razões para que o usuário tenha uma conta no Google: o Gmail é a terceira plataforma de Webmail mais utilizada no mundo, com 193 milhões de usuários (contra 364 milhões do Hotmail e 280 milhões do Yahoomail), o YouTube cresce na base de 35 horas de vídeos novos sendo armazenadas a cada minuto, o Google Docs provê armazenamento seguro, acessível de qualquer lugar para documentos, e por aí vai.

Com o crescimento das facilidades, cresce o valor das informações armazenadas, e cresce também o olho dos bandidos em cima de nossos dados, claro. Pensando nisso o especialista Rick Klau, funcionário do Google atualmente alocado no YouTube, publicou um conjunto interessante de melhores práticas de segurança voltado para quem tem conta no Google.

A primeira dica é a mais óbvia: use uma senha forte e única para se logar no Google. Já ensinei aqui no 5 Minutos de Segurança como fazer senhas fortes, e para quem ainda não sabe como, recomendo a leitura do artigo.

Klau dá sequência ensinando os usuários sobre como recuperar acesso à conta em caso de esquecimento da senha. A opção de recuperação via um código em uma mensagem SMS é bem útil, e eu recomendo. Recomendo também que o celular do usuário seja protegido por senha, como sugere o autor.

A terceira dica é a proteção da conta do Google através da autenticação forte. Trata-se de um passo além da senha, através do qual o usuário recebe um código via SMS toda vez que tenta se logar. Também já falei sobre esse assunto, e recomendo a leitura do artigo.

O artigo de Klau ainda dá várias outras dicas valiosas sobre como devemos manter nossas contas no Google seguras. Recomendo fortemente a leitura do mesmo e a adoção das medidas lá sugeridas.

Nos dias de hoje, com tantos ciber-criminosos olhando com mais vontade para nossos dados, nada melhor que um profissional de dentro do próprio Google nos ensinando — e de graça! — como como melhorar nossa segurança, não é verdade?

Até a próxima.

Respeite meu endereço de e-mail

2011-04-18T08:20:00.000-03:00

Ao reenviar mensagens recebidas, não entregue de bandeja os e-mails dos recipientes para algum bandido de plantão.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Uma lição sobre privacidade

2011-04-14T09:15:00.001-03:00

Uma escola nos EUA encontrou uma forma efetiva de mostrar aos alunos os perigos de se compartilhar demais informações pessoais. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo sobre a apresentação de privacidade na Old Saybrook Highschool, nos EUA.

Para ler esse artigo, clique no botão abaixo.

A escola Old Saybrook Highschool, no estado de Connecticut, nos EUA fez essa semana uma apresentação sobre privacidade para os alunos ingressantes no colegial, e o resultado não poderia ter sido melhor. De posse apenas dos nomes dos alunos matriculados e da escola que passarão a frequentar, os organizadores da apresentação fizeram várias buscas nas redes sociais tais como o Facebook, o Twitter e o Tumblr, e incluíram no material audiovisual fotos de vários dos alunos em festas e outros eventos de que participaram.

Dois resultados imediatos foram verificados, um excelente, e outro melhor ainda.

O primeiro resultado foi que todos os alunos puderam perceber como é fácil se juntar informações acerca de si mesmos de posse apenas de seus nomes e da escola que frequentam. Não foi necessária nenhuma técnica de hacking para se descobrir o material, e os organizadores apenas fizeram buscas em áreas públicas dos sites de relacionamento, buscas essas que qualquer criança consegue realizar sem infringir nenhuma lei. E assim, vendo suas fotos estampadas num telão, todos puderam entender que enquanto o compartilhamento proporcionado pelas redes sociais é bem bacana, precisamos desenvolver critérios adequados sobre o que compartilhar e com quem compartilhar.

O segundo resultado, que em minha opinião é ainda melhor, é o seguinte: alguns dos alunos deram início a uma chiadeira geral, reclamando para a escola e em suas contas no Twitter que sentiam ter sido violados em sua privacidade. Onde é que já se viu? Usar minhas fotos assim, sem minha permissão e ainda mostra-las para todo mundo na escola?” foi a tônica geral das reclamações. Digo que essa reação é ainda melhor pelo seguinte: esses alunos que se sentiram “ultrajados” tiveram a oportunidade de sentir na pele, de uma forma extremamente benévola, os efeitos de uma verdadeira violação de privacidade. A escola se pronunciou e afirmou que a escolha das fotos para a apresentação foi bastante criteriosa, e que nenhuma das fotos mais embaraçosas encontradas na busca foi usada. Esses adolescentes que estão reclamando deveriam deixar seus melindres de lado e usar essa “energia reclamante” para pensar com mais cuidado no que compartilhar. Até porque, se algum dia alguém mal intencionado usar essas fotos contra eles, contra quem vão reclamar da invasão de privacidade?

Até a próxima.

Educação, de novo...

2011-04-11T06:08:00.001-03:00

Mais uma martelada na questão da educação, para não perdermos o costume. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo no site da ITWeb sobre o evento BlueHat Forum 2011.

Para ler esse artigo, clique no botão abaixo.

Ocorreu na semana passada, em São Paulo, o BlueHat Forum 2011. Este evento é organizado pela Microsoft, que utiliza o espaço para discutir assuntos ligados à segurança de seus produtos.

Antes que alguém comece a atirar pedras na Microsoft, alegando que a empresa tem um longo histórico de produzir aplicações inseguras, é bom lembrar que a preocupação da empresa com as questões de segurança tem produzido excelentes frutos já há quase 10 anos, desde o famoso memorando de computação confiável publicado por Bill Gates. Além disso, é uma empresa que tem se preocupado bastante com a questão da conscientização, um dos pilares da segurança.

O diretor sênior de computação confiável da Microsoft, Andrew Cushman, afirmou aquilo que para os leitores do 5 Minutos de Segurança já deveria ser óbvio: no que diz respeito à segurança, a educação é fundamental. Como exemplo, Cushman cita um estudo da Microsoft que aponta o Brasil como sendo o segundo país do mundo em computadores infectados por botnets, com 550 mil máquinas transformadas em zumbis por esse tipo de praga. Estamos atrás apenas dos EUA, que contam 2,2 milhões de máquinas infectadas.

As botnets, é bom lembrar, são redes formadas a partir de códigos maliciosos que invadem as máquinas das vítimas e lá se instalam, transformando essas máquinas em zumbis a serviço de seus “mestres”. Evitar a contaminação por códigos maliciosos de botnets é um processo simples, que só exige cuidados bem básicos por parte do usuário. Deixar-se contaminar por uma botnet equivale, no mundo material, a deixar-se contaminar por alguma verminose por não se lavar as mãos nem os alimentos na hora de comer. Ou seja: é básico demais.

E como é que nos educamos acerca de segurança? Lendo sobre o assunto, procurando informações on-line, perguntando a quem conhece o riscado. Em geral, tudo isso pode ser resumido em uma ação: nos interessarmos pelas questões de segurança.

Não parece ser difícil, parece? Mas infelizmente as estatísticas mostram um quadro diferente. Os 550 mil computadores brasileiros infectados pro botnets são um sólido testemunho de que não nos preocupamos adequadamente com a segurança, e de que estamos ainda muito longe disso. Sorte de quem já caiu na real, e que tem segurança em mente em suas andanças on-line.

Até a próxima.

Segurança na compra de imóveis

2011-04-07T09:12:00.002-03:00

Comprar apartamento na planta pode dar a maior dor de cabeça. Como evitar? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar a cartilha do consumidor so IBEDEC (PDF).

Clique aqui para ir ao site do ReclameAqui.com.br.

Para ler esse artigo, clique no botão abaixo.

O amigo Osório José Tavares Neto compartilhou uma história que se não tem a ver com segurança de TI para os usuários domésticos, tem, sim, tudo a ver com nossa segurança financeira:

“Adquiri um imóvel da CCDI (Camargo Correa) em Jul/2007, cuja previsão de entrega era para Jul/2010. Depois de sucessivos atrasos, a nova data de entrega é Julho do ano que vem. São 2 anos de atraso, ou seja, um empreendimento que vai demorar 5 anos para ser entregue (o prazo original era de 2 anos). A CCDI tem se mostrado totalmente intransigente nas negociações. Não vou tomar o tempo de vocês com mais detalhes. Quero apenas alertá-los dos riscos existentes em negociações desse tipo, afinal, quando compramos apartamento em planta, estamos comprando promessas. E promessa depende de alguém cumprir. Serve para todas construtoras, mas por experiência própria, cuidado com a CCDI.”

O problema do Osório me cheira ao problemão enfrentado quinze anos atrás pelas vítimas da Encol, que não terminou nada bem para os milhares de proprietários lesados. Naquela época a Internet ainda estava nascendo no Brasil, e o que foi veiculado sobre o caso veio pela mídia tradicional: jornais, revistas, rádio e TV.

Hoje o comprador tem à sua disposição a Internet, com suas máquinas de busca e redes sociais para ajudar a se esquivar de comprar um mico. E tanto na hora de comprar, como na hora de se mobilizar, manda a cautela que muitas pesquisas sejam feitas com a ajuda dessas ferramentas.

Uma busca no Google por “reclamações construtora” já traz como primeiro resultado uma excelente cartilha do IBEDEC sobre como comprar um imóvel. Logo nas primeiras páginas, dicas de como avaliar a construtora, tais como averiguar o cumprimento de prazos e a situação da empresa frente aos diversos órgãos públicos.

Outro resultado da busca no Google é o site Reclameaqui.com.br, que mostra nada menos que 78 reclamações recentes contra a empresa. Será que não é possível encontrar construtoras com menor índice de reclamação? Fica a critério dos usuários fazerem suas próprias buscas e descobrirem se as construtoras que estão “namorando” estão em melhor forma que a CCDI.

E quem já se sente lesado? Bem, os protestos são uma forma de chamar a atenção, mas o fato é que se ficarem restritos às faixas em frente à sede da empresa, pouca gente vai ver, a menos que uma emissora se disponha a fazer uma matéria, como foi o caso da Band nessa situação. Novamente a Internet pode ajudar. O Facebook permite a criação de grupos, e alguma coisa na linha de “Construtora Fulano de Tal é fria!” pode ajudar a atrair atenção para o assunto. É uma baita publicidade negativa para a empresa, e algo que tem o potencial de ser visto por milhares de pessoas. Outra atitude interessante é a criação de blogs contando os casos e expondo as situações dos lesados, com ações combinadas no Twitter para divulgar os posts. Quanto mais gente souber do problema, mais gente vai desconfiar da construtora, o que pode gerar a pressão necessária para resolver o problema.

Infelizmente comprar um apartamento na planta é comprar uma promessa, como disse muito bem o Osório. A Internet pode nos dar um pouco mais de segurança na hora dessa compra, ajudando-nos a prevenir as armadilhas, que nesse caso não são poucas. É mais um daqueles casos em que nos instruirmos e nos prepararmos de antemão é o melhor caminho. Até porque depois, só nos resta reclamar.

Até a próxima.

Sanguessuga na rede Wi-Fi

2011-04-04T10:56:00.001-03:00

Como proceder para que sanguessugas roubam nossa banda na rede Wi-Fi? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Um ex-aluno veio me contar a história de um cliente que estava tendo parte de sua banda utilizada indevidamente por um usuário espertinho. A história é bastante comum, e não espanta mais ninguém que tenha um smartphone ou um laptop e que se disponha a andar por sua cidade com o dispositivo ativado, em busca de redes mal configuradas. Elas existem aos milhares por todo o país, e não há sinal de que a situação vá mudar tão cedo.

O problema ocorre, claro, porque o usuário menos avisado compra um roteador Wi-Fi, conecta o mesmo ao modem de banda larga, e como a rede passa a funcionar imediatamente, deixa de configurar a segurança. Para quem tem um pouco mais de traquejo com informática, esse pode parecer um erro bobo, um descuido que simplesmente não deveria acontecer. Infelizmente, acontece, e muito. E para quem não conseguiu sequer ativar a segurança da rede Wi-Fi, identificar que tem gente se aproveitando da banda fica mais difícil ainda. Na experiência do ex-aluno, assim que começou a descrever como identificar as máquinas conectadas à rede através dos endereços MAC, o cliente o interrompeu e afirmou que era difícil demais, e que a melhor solução seria desativar a rede de uma vez. Instado a ativar a segurança de sua rede Wi-Fi, novamente o cliente alegou dificuldade, e se não fosse o ex-aluno se voluntariar a fazer as configurações, o tal cliente simplesmente pararia de usar sua rede Wi-Fi doméstica. Maior exemplo de indolência eu não vejo há muito tempo.

É claro que sempre é bem mais fácil ativar a segurança da rede Wi-Fi. Ativar o mecanismo WPA-2 e criar uma senha forte é questão de 5 minutos de leitura das instruções e aplicação das ações necessárias. Identificar os endereços MAC dos dispositivos que têm permissão para usar a rede e limitar o acesso a esses dispositivos, também. Esconder o SSID, isto é, o nome da rede, também. Alterar a senha de administrador do roteador por uma senha forte, também. No geral, para quem não tem preguiça e preza por sua segurança, meia hora é suficiente para evitar sanguessugas na rede Wi-Fi.

E será que essas coisinhas só, as ações mais corriqueiras, bastam? Na vasta maioria dos casos, sim. É, como eu vivo dizendo, semelhante ao caso dos ladrões de carro. Um ladrão para diante de seu carro e vê que tem alarme e trava. Logo na frente tem outro carro igual que não tem nenhuma das duas coisas. Claro que ele vai optar pelo roubo mais fácil, não é verdade? Da mesma forma, o sanguessuga vai abrir a lista de redes no computador e ver que tem a sua, protegida, e outra desprotegida. É bastante natural que opte pela desprotegida, obviamente.

Como vivo dizendo para meus alunos, a preguiça da vítima é uma das ferramentas mais eficazes à disposição dos bandidos. Pena que muitos usuários teimem em continuar abusando de sua própria preguiça.

Até a próxima.

Sigilo de arquivos no pendrive

2011-03-31T11:30:00.002-03:00

Apagar os arquivos do pendrive realmente nos protege contra acesso aos dados? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Um ouvinte que não quis se identificar mandou a seguinte questão:

“Tive que transportar alguns arquivos particulares no meu pendrive, e depois de utilizar, apaguei tudo e inclusive gravei alguns arquivos por cima. Na semana passada perdi o pendrive de vista e achei que tivesse esquecido em algum lugar. Agora estou desconfiado que alguém pegou de propósito. A minha pergunta é: se tem perigo de alguém recuperar dados apagados do pendrive. Posso desencanar, ou tenho que ficar preocupado?”

Puxa, meu caro, as notícias que tenho para você infelizmente não são boas. O SSD, ou Solid State Drive, que traduzido para o português pode ser “armazenador de estado sólido” é uma criatura complicada no que diz respeito a apagar nossos dados.

Apagar simplesmente o dado, como fazemos em nosso HD não resolve (aliás não resolve nem no HD), pois o que ocorre é que o estado do arquivo é modificado só no diretório, que passa a listar a área onde os dados estão escritos como “livre”. Os dados, mesmo, continuam lá, e uma simples busca no Google pelo termo “undelete” resulta em vários aplicativos gratuitos de recuperação de dados, seja de discos rígidos, seja de CDs e DVDs regraváveis, seja de pendrives.

Você afirma que depois de apagar os dados sensíveis gravou outros arquivos no pendrive, certo? Bem, mesmo assim há uma boa chance de que esses dados ainda sejam acessíveis por quem esteja de posse do pendrive. O que acontece é o seguinte: o processo de gravação e regravação em uma mesma região do pendrive é o que faz com que com o passar do tempo o dispositivo falhe e perca sua utilidade. Para evitar isso, o mecanismo de gravação evita ao máximo reescrever sobre uma região (mesmo que livre) se essa região contém dados que foram escritos recentemente. O mecanismo de escrita do pendrive sempre vai procurar uma região “em branco” antes de reescrever sobre uma região que já foi utilizada, para tentar aumentar a longevidade do dispositivo. Mesmo que você tenha tido sorte e gravado novos arquivos exatamente sobre os arquivos antigos, ainda assim existe a possibilidade de recuperação dos dados, se bem que nesse caso o investimento da pessoa interessada em suas informações já fica bem alto, e o conhecimento necessário, bem especializado.

Eu, particularmente, só acredito em duas formas de proteger dados gravados em pendrives: a destruição física do pendrive (e mesmo essa tem que garantir que os chips de memória sejam fisicamente quebrados) e a criptografia de dados. Dados sensíveis gravados em pendrives devem ser criptografados usando soluções reconhecidas pelo mercado e protegidos por senhas fortes. Uma vez que os dados não tenham mais utilidade e o usuário quer se ver livre de dor de cabeça, um martelo é a ferramenta mais eficaz para “apagar” os dados.

E fica aqui outra dica: uma das coisas mais fáceis que existem é o indivíduo perder seu pendrive de vista. Minha sugestão é coloca-lo pendurado em seu molho de chaves. Nossa rotina diária já incorpora há décadas o cuidado com as chaves do carro ou de casa. Claro que de vez em quando perdemos as chaves de vista, mas temos a rotina de onde elas estão, seja penduradas na parede, na fechadura ou no bolso. Já os pendrives são dispositivos que só agora estão sendo incorporados em nossa rotina, o que faz com que de vez em quando os percamos de vista. Deixá-los no molho de chaves tem o inconveniente, claro, de se perdermos um, perdemos o outro. Mas que o controle fica bem mais fácil, ah, isso fica.

Sinto não ter melhores notícias para você, caro ouvinte. Espero que você encontre seu pendrive, mas se não encontrar, espero que sua situação pelo menos sirva de alerta para os demais ouvintes do 5 Minutos de Segurança.

Até a próxima.

Ranking de antispyware 2011

2011-03-28T08:40:00.001-03:00

Como estão as soluções de antispyware para 2011? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ir à página do comparativo da TopTenReviews.com das soluções de antispyware mais bem colocadas para 2011.

Para ler esse artigo, clique no botão abaixo.

Foi publicada recentemente a lista das Top 10 soluções de antispyware para 2011 da TopTenReviews.com.

O antispyware, para quem não sabe ou não lembra, é o software responsável por identificar e remover programas indesejáveis que se infiltram em nossos computadores com o objetivo de coletar nossas informações e enviá-las para seus criadores. Na maioria dos casos, o spyware tem objetivos comerciais. Ao desenhar um perfil de preferências do usuário através de seus hábitos de navegação, essa coleta de informações facilita o trabalho das empresas de publicidade na Web, permitindo que anúncios mais de acordo com nossos gostos sejam apresentados nas páginas que frequentamos. O problema é que o spyware não para por aí. Em muitos casos esses pequenos programas vão além de suas funções comerciais (e superficiais) e se metem a coletar informações sobre os arquivos armazenados no disco, e aí a coisa fica bem complicada. No limite o spyware se transforma em código explicitamente malicioso, e busca coletar dados de conta corrente e de cartão de crédito.

A lista da TopTenReviews.com apresenta soluções que custam entre vinte e quarenta dólares por um ano de uso, o que mostra que as soluções são acessíveis para os usuários interessados em se proteger dessas pragas. Muita gente, como sempre, se pergunta sobre as alternativas gratuitas, mas nesse caso estão sem sorte. Quase todas as soluções de antispyware oferecidas sem custo apenas identificam as pragas presentes no computador, requerendo uma ativação da licença (leia-se: pagar por essa licença) para que a aplicação remova o spyware encontrado.

As três soluções mais bem colocadas na lista da TopTenReviews.com são: em terceiro lugar o STOPzilla, em segundo lugar o CounterSpy e em primeiro lugar o Spy Sweeper.
Como o SpySweeper foi o único com nota máxima nos quesitos de efetividade de detecção e de remoção de spyware, não há como deixar de considera-lo o claro campeão da lista desse ano. Ainda mais porque seu preço de US$19,95 está pareado com as soluções mais baratas disponíveis.

As varreduras efetuadas pelo SpySweeper são bem detalhadas, incluindo o fluxo de dados que é carregado via Web, todos os arquivos do disco e da memória, inclusive e-mails e anexos. Além disso o SpySweeper conta com facilidades para identificação e remoção de códigos maliciosos de phishing, e se auto-atualiza sempre que alguma versão nova é lançada no site da Webroot (a empresa fabricante).

O SpySweeper se destaca tanto no mercado de soluções antispyware que é adotado por 96% dos usuários que instalam esse tipo de solução, e ganhou elogios rasgados da PC Magazine. Vale a pena dar uma avaliada na solução se você estiver considerando adotar uma ferramenta de antispyware.

Até a próxima.

Mais segurança no Firefox 4

2011-03-24T05:38:00.000-03:00

A versão 4 do Firefox está disponível para download, e vem com algumas melhorias importantes no quesito segurança. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para ler um artigo da SC Magazine sobre as novas features de segurança do Firefox 4.

Para ler esse artigo, clique no botão abaixo.

Essa semana a Fundação Mozilla lançou no mercado a versão 4 de seu navegador, o Firefox.

Falar sobre navegadores, eu bem sei, é meio que como falar da briga iPhone versus Android, Macs versus PCs, e por aí vai. Há uma boa dose de paixão atrelada a cada um desses assuntos, não diferente do que acontece com nossa preferencia pessoal por um time de futebol. Elogiar um deles é atrair opiniões polarizadas, emitidas pelos grupos contrários e pelos fanboys. No meio dessa barulheira toda, os poucos ponderados balançam a cabeça em sinal de tristeza.

Eu tento me manter entre os ponderados, mas como alguns já perceberam, tendo a favorecer o Firefox, até porque é meu navegador de escolha. Uso frequentemente o Safari e o Internet Explorer (e já usei muito o Chrome, e pouco o Opera), mas 90% do tempo navego pelo Firefox.

A versão 4 do Firefox traz algumas novas características de segurança que certamente agradarão aos usuários desse navegador. A primeira delas chama-se CSP, Content Security Policy, ou Política de Segurança de Conteúdo. É um mecanismo que permite ao navegador definir se vai ou não permitir a execução de conteúdo dependendo da origem desse conteúdo. Na prática, funciona assim: se estou visitando o site www.fulano.com e a página tenta carregar conteúdo também do domínio www.sicarano.com, o navegador decide se permite ou não, com base em uma lista dinâmica mantida pela Mozilla. Por que isso é importante? Pelo seguinte: um dos ataques preferidos dos bandidos chama-se cross-site scripting, e ocorre quando um site é atacado e uma pequena linha de comando é inserida em uma ou mais páginas, linha essa que comanda o navegador a carregar código armazenado em outro lugar. Nesse “outro lugar” o bandido armazena o código de ataque que permitirá invadir a máquina da vítima através do navegador. Com o novo mecanismo fica bem mais difícil dos bandidos efetuarem esse tipo de ataque.

Outra característica bacana do Firefox 4 é o não-rastreamento. Toda vez que navegamos por um site, permitimos que esse site armazene informações a nosso respeito, informações essas que podem ser usadas para definir nossos gostos e hábitos, e são vendidas para empresas de marketing on-line. De posse de nossas informações e hábitos de navegação, essas empresas fazem publicidade dirigida, o que por muita gente é visto como invasão de privacidade. A partir de agora, com a versão 4 do Firefox (e também com a versão 9 do Internet Explorer) os usuários podem optar por não fornecerem essas informações de rastreamento para os sites que visitam, protegendo um pouco do que ainda lhes resta de privacidade.

Existem outros novos mecanismos de segurança no Firefox 4, tais como a capacidade de recusar conexões inseguras (HTTP puro) com um site quando a conexão inicial é estabelecida via protocolo seguro (HTTPS). Isso significa que se você se conecta, por exemplo, com seu banco (via HTTPS, que criptografa toda a comunicação) e no meio do caminho vem uma requisição para envio de dados via HTTP (que algum bandido espertinho inseriu na página), o navegador rejeita o pedido e avisa o usuário.

No geral a versão 4 do Firefox é bem bacana, e está à altura dos melhores navegadores de mercado. É um navegador bem veloz (não é o mais veloz entre os 4 grandes, mas também não é o mais lento) e robusto, e a vasta coleção de plug-ins é simplesmente fantástica, de tanta funcionalidade que adicionam à navegação.

Vale a pena conferir, apra quem anda pensando trocar de navegador.

Até a próxima.

Smartphones sob ataque

2011-03-21T10:12:00.001-03:00

Várias celebridades norte-americanas tiveram seus smartphones invadidos recentemente, com informações e fotos roubadas. Como podemos nos proteger de tais ameaças? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo da Sheknows Entertainment sobre a invasão dos smartphones das celebridades.

Para ler esse artigo, clique no botão abaixo.

Recentemente o FBI passou a investigar uma série de vazamento de dados de celebridades norte-americanas, sendo que fotos e informações de natureza pessoal vêm sendo publicados sem a autorização dos donos das informações.

O caso ganhou projeção na mídia principalmente porque, em se tratando de jovens atrizes e cantoras, as fotos divulgadas são, digamos, íntimas, mostrando as vítimas nuas. O FBI entrou em cena, e a investigação mostra que mais de 50 jovens celebridades tiveram seus smartphones invadidos, com as fotos e informações tendo sido roubadas desses aparelhos.

A vasta maioria dos usuários domésticos a quem o 5 Minutos de Segurança se destina não é composta de celebridades, mas ainda assim a questão é de interesse de todos nós. Os smartphones estão rapidamente substituindo os celulares mais simples, e cada vez mais usuários dependem desses aparelhos para armazenamento de informações pessoais e profissionais. iPhones, aparelhos baseados no sistema Android, e aparelhos baseados no Windows mobile e Windows Phone 7 trazem para os telefones as facilidades que antes eram limitadas aos nossos computadores, com a vantagem de caberem no bolso. Resultado: quem usa um smartphone tende a transferir muitas das tarefas que antes realizava em seu notebook para os aparelhos, e como as câmeras destes já apresentam resolução e qualidade mais que razoável, estamos também abandonando as câmeras em prol de nossos smartphones.

Tudo muito bacana e prático, até que algo na linha das celebridades americanas aconteça, não é verdade? E como fazer para protegermos nossos dados? Afinal de contas, podemos não ser celebridades, mas prezamos por nossa privacidade e pelo sigilo que a Constituição garante para nossa vida pessoal.

Em primeiro lugar, nossa preocupação deve ser com a segurança física do aparelho. O mesmo deveria estar sempre conosco, e se isso não for possível, deveria estar bem guardado e protegido. Pelo tamanho pequeno, é muito fácil esquecermos, perdermos ou mesmo deixar que nossos aparelhos sejam roubados. Só que não podemos tratar esses aparelhos como costumávamos tratar nossos celulares simples: eles estão bem mais para computadores do que para telefones, e devem ser cuidados com o mesmo respeito.

Em segundo lugar, os aparelhos atuais permitem a proteção através de senha. No caso de perdermos o aparelho de vista, a senha é a única proteção que nos resta. A senha, como já cansei de dizer, tem que ser única para cada aparelho ou aplicação, e não deve ser óbvia.

Existem serviços oferecidos por fabricantes e desenvolvedores de aplicativos que ajudam a localizar o aparelho (pelo menos os que têm GPS embutido) e a apagar os dados em caso de não ser possível recuperá-lo. É uma excelente ideia ativar esses serviços, pois funcionam como o cancelamento de um cartão de crédito, protegendo o dono em caso de extravio.

Outra dica é a proteção adequada do computador onde fazemos o sincronismo de dados e aplicações de nosso smartphone. Como vivo repetindo para meus alunos, a corrente sempre quebra no elo mais fraco, isto é, não adianta lá muita coisa proteger e cuidar do smarphone se bobeamos e permitimos que nosso computador pessoal seja invadido. O bandido certamente vai roubar nossos dados de lá se não conseguir acesso ao aparelho móvel.

Por fim, uma dica: não manter no smartphone fotos e dados que sejam comprometedores. Não vai aqui nenhum julgamento de valores sobre o que cada um faz em sua vida privada, mas sim um alerta amigável. Está a fim de tirar aquela foto mais comprometedora? Vá em frente, mas não se esqueça de tira-la do aparelho na primeira oportunidade. Deixar dados sensíveis de bobeira no smartphone, como mostra a situação das celebridades americanas, é um baita risco.

Até a próxima.

O golpe do terremoto do Japão

2011-03-17T07:27:00.001-03:00

Um golpe bastante perverso ameaça a tranquilidade das já sofridas famílias de brasileiros vivendo no Japão. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo completo sobre o golpe Ore Ore Sagui no blog da empresa Suri-Emu.

Para ler esse artigo, clique no botão abaixo.

Qual tablet é mais seguro?

2011-03-14T07:51:00.001-03:00

Será que entre os novos tablets disponíveis no mercado algum se sobressai em termos de segurança? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Sandro enviou a seguinte pergunta:

“Vou viajar para os EUA em breve, e estou pensando em trazer um tablet para uso pessoal. Estou em dúvida entre o Galaxy, o Xoom e o IPad 2. Existe alguma consideração de segurança que me ajude a decidir por algum deles?”

Puxa, Sandro, essa é uma pergunta difícil de responder por várias razões. A primeira delas é que não tendo um tablet, nem tendo encontrado esses dispositivos em projetos profissionais ainda, não tenho dados provenientes de experiência pessoal para te passar, apenas o que tenho estudado. Em segundo lugar, porque as plataformas são todas novas, e o ambiente dos tablets ainda é meio que “terra incógnita” no que diz respeito à segurança. Apenas começamos a ver a formação do, digamos, ecossistema, dos tablets, e as ameaças que surgiram até agora são poucas para que se forme uma opinião embasada. E, por último, porque a questão dos tablets é, hoje, bastante permeada pela paixão. Dizer qual deles é o melhor é quase que equivalente a dizer qual o melhor time de futebol: cada um vai ter uma opinião diferente, e sempre mais baseada nas preferências pessoais do que nos fatos.

Isto posto, existem alguns pontos a considerar, que dependendo de como pensamos e do que vemos como sendo mais importante, nos ajuda a decidir.

Comecemos pelo sistema operacional. Dois dos tablets que você menciona (o Galaxy e o Xoom) implementam o sistema operacional Android, da Google. Esse sistema é de código aberto, e é adotado por vários tablets e smartphones do mercado. O Android é um sistema robusto e bem construído, que vem recebendo elogios da indústria por sua arquitetura e flexibilidade. No quesito segurança, o Android trabalha com o conceito de sandboxing, que na prática significa que cada aplicação tem seu espaço separado, sem acesso ao espaço designado a outras aplicações. Isso é importante, pois impede que uma aplicação mal-intencionada capture dados de outra. O lado negativo dos sistemas baseados em Android é o fato de que o desenvolvimento não é regulado por ninguém. Qualquer um pode desenvolver e disponibilizar aplicativos para o Android, e o resultado dessa falta de controle é que aplicações maliciosas às vezes são disponibilizadas e baixadas pelos usuários. No início do mês a Google resolveu intervir em sua loja de aplicações e tirou do ar 21 delas, que supostamente espalhavam códigos maliciosos.

O terceiro tablet que você menciona é o IPad 2, que roda o sistema proprietário da Apple iOS 4.3 e também usa o conceito de sandboxing para segregar aplicações. Este sistema é totalmente fechado, e o desenvolvimento de aplicações é draconianamente controlado pela própria Apple. O lado ruim disso é que muitos desenvolvedores reclamam da arbitrariedade da empresa, que às vezes barra a venda de aplicativos sem dar razões adequadas. O lado bom é que esse controle todo é bem eficaz em impedir que códigos maliciosos venham a tiracolo das aplicações. Um ponto importante a ser considerado é que os iPads hoje somam 83% do mercado de tablets. Esse domínio, como já vimos no caso dos PCs tende a atrair os bandidos de plantão. Não é à toa que os computadores baseados em sistemas operacionais Windows são alvo de 98% dos vírus, cavalos de troia e botnets. O MacOS e o Linux são bem menos passíveis desse tipo de problema, justamente porque têm bem menos mercado que o Windows. Penso que o mesmo tende a acontecer no ambiente dos tablets se a Apple mantiver essa liderança expressiva, mas confesso que isso é uma inferência, sem base em dados concretos, a não ser o comportamento histórico da indústria de tecnologia. E se você optar pelo iPad, fica uma forte sugestão: mesmo que dê muita vontade de destravá-lo, não o faça. A maioria dos problemas de segurança relatados no iPhone e no iPad ocorre em aparelhos que os usuários destravam.

Noves fora, Sandro, qualquer escolha que você fizer terá seus prós e contras. E nesse momento, não é possível dizer qual dos tablets vai te trazer mais sossego no quesito segurança sem ser acusado de “fanboy”, isso é, sem ser injustamente parcial a um deles. Penso que ambos vão apresentar benefícios e desafios. Boa sorte na escolha.

Até a próxima.

O erro é meu, mas o problema é deles?

2011-03-10T09:49:00.001-03:00

Uma pesquisa e uma proposta apontam para um caminho no mínimo inusitado no que tange à segurança: o ISP se responsabilizando pela segurança do usuário doméstico. Faz sentido isso? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Dancho Danchev na ZDNet recomendando que os ISPs se responsabilizem pela quarentena de usuários infectados.

Clique aqui para ler o relatório da MAAWG sobre quem os usuários pensam ser os responsáveis pela prevenção aos códigos maliciosos.

Clique aqui para ler o relatório da Microsoft recomendando que a segurança on-line seja tratada da mesma forma que assuntos de saúde pública (arquivo PDF).

Para ler esse artigo, clique no botão abaixo.

Em um artigo de ontem, o especialista de segurança Dancho Danchev discute um assunto interessante e, em minha humilde opinião, bastante controverso. Danchev aponta para uma pesquisa do ano passado da MAAWG que mostra quem os usuários pensam que deveria ser o responsável pela prevenção a vírus e outros códigos maliciosos. Os usuários pesquisados colocaram em primeiro lugar os ISPs, em segundo lugar as empresas de antimalware e eles próprios aparecem apenas em terceiro lugar. Como já comentei aqui no 5 Minutos de Segurança, essa é uma atitude no mínimo pretensiosa, e verdadeiramente negligente.

A opinião dos 65% dos usuários que colocam os ISPs no topo da lista de responsáveis por prevenir malware é corroborada, ainda, pela Microsoft, que recentemente propôs que a prevenção de malware fosse tratada como uma questão de saúde pública, com a quarentena dos usuários infectados.

Existem algumas vantagens óbvias em estratégias semelhantes, e alguns ISPs já avisam via e-mail seus usuários quando seus computadores estão infectados com botnets e outros códigos maliciosos que causam grande fluxo de comunicação. Avisos ao usuário, penso eu, são úteis, pois não são invasivos e ainda deixam a responsabilidade de ação e prevenção por conta do usuário. Essa responsabilidade deveria ser assumida e desenvolvida pelo próprio usuário, como repito incessantemente.

O que muita gente não entente é que atribuir ao ISP a responsabilidade pela quarentena do usuário caso este esteja infectado é desvantajoso para o próprio usuário. Por um lado essa estratégia estimula a preguiça e a negligência, pois tenho certeza que vai ter muito usuário interpretando a situação como se fosse um “passe livre” para fazer o que quiser na Internet, uma vez que “u provedô tá protegeno nóis”. Por outro, esses próprios usuários vão se sentir extremamente incomodados quando tentarem entrar na rede e forem barrados porque seus computadores estão empesteados.

Ainda assim, talvez essa seja uma estratégia boa para um país tão carente de conscientização como o nosso. Faz lembrar as históricas campanhas de vacinação obrigatória capitaneadas por Oswaldo Cruz no início do século XX. A medida causou revolta popular naquela época, mas fez com que muita gente passasse a raciocinar sobre sua própria condição de higiene e saúde. A massa reclamou e esperneou horrores por ter que se submeter à força a um procedimento que deveria ter sido adotado de livre escolha por elas próprias. O mesmo, penso eu, ocorrerá se tal atitude vier a ser tomada com relação ao malware na Internet. Muita gente vai chiar quando for barrada de entrar na rede, e se essa não for uma atitude tomada por todos os ISPs, vai ter muita gente trocando de provedor. Os ISPs, por sua vez, vão ficar com o pé atrás com medo justificável de perdas de receita. E no fim, se não for um esforço muito, mas muito bem coordenado, tudo vai acabar em pizza mais uma vez em nosso abençoado Patropi.

Essa movimentação é crescente, pelo que tenho lido e pelas discussões de que tenho participado ultimamente, e deve servir de alerta para quem já está um pouco mais esclarecido sobre segurança: se não cuidarmos de nossa própria segurança on-line, corremos o risco de ter outras partes cuidando. A diferença é que ao invés de nos ajudarem, vão simplesmente nos impedir de acessar a Internet. Alguém topa?

Até a próxima.

Segurança em cartões com chip

2011-03-03T08:45:00.000-03:00

Os cartões de crédito e de débito que têm chip são mesmo mais seguros do que os que não têm? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Um ouvinte mandou a seguinte pergunta:

“Tem jeito de clonar cartão de crédito com chip? Me disseram que o carão com chip é mais seguro, mas será que tem jeito de copiar as informações lá de dentro?”

Essas são duas excelentes perguntas. Vamos a elas.

Os cartões com chip já não são mais tão novos assim. A tecnologia foi desenvolvida na década de 80, e sua adoção para meios de pagamento vem ocorrendo desde o início da década de 2000. Aqui no Brasil já estão se tornando bem comuns, mas surpreendentemente nos EUA os estabelecimentos com leitores de cartão de crédito capazes de executar transações através do chip são uma raridade.

A clonagem de um cartão de crédito depende da cópia de várias informações: o número, o nome do titular, a data de validade, o código de segurança, e, no caso dos cartões com chip, das informações contidas no chip. Todas essas informações menos as que estão contidas no chip e o código de segurança podem ser facilmente copiáveis através da tarja magnética contida em cada cartão. Pequenos leitores e armazenadores de informação batizados de “chupacabras” conseguem facilmente copiar todas as informações da tarja magnética, e a pessoa manipulando seu cartão consegue facilmente anotar os três dígitos de segurança. Até mesmo a senha associada com os cartões de débito pode ser copiada, através das câmeras ilegais instaladas em caixas eletrônicos, como já falei aqui no 5 Minutos de Segurança.

Mas no que concerne o chip, a cópia das informações é uma questão muito, mas muito mais complicada. Primeiro porque os chips são criados de forma a não ser possível desmontá-los. Qualquer tentativa de fisicamente abrir o chip destrói o mesmo, tornando inviável recuperar os dados ali contidos. Técnicas de abertura utilizando ácido já foram relatadas, mas são raríssimos os casos em que funcionam.

Já a obtenção dos dados através de técnicas de hacking, isso é, “fuçando” no chip através dos sinais de entrada e saída é uma tarefa inútil. O chip conversa com o leitor através de uma troca de códigos que é muitíssimo robusta, isto é, bastante resistente a esse tipo de tentativa de invasão. Imagine dois espiões se encontrando e trocando códigos e contra-códigos. Essa autenticação depende de dados que são únicos ao chip e por levarem em consideração o tempo, são diferentes a cada vez que se conecta o cartão com o leitor. Dá para decifrar esse mecanismo? Até dá, mas o custo para tanto torna isso inviável para a vasta maioria dos bandidos de plantão. E nos raríssimos casos em que alguma vulnerabilidade é encontrada nesses dispositivos, o consórcio dos operadores que administra os cartões sabe que qualquer ajuste, por mais que custe, é sempre substancialmente menor que o valor das fraudes sendo prevenidas pela tecnologia.

Os bandidos, por sua vez, sabem que as tentativas de clonagem de cartão com chip são inúteis, e agem como os ladrões de carro comuns: diante de um veículo blindado, com trava aparente e alarme ligado, na vasta maioria dos casos vão procurar outro carro mais fácil. Afinal de contas, tem tantos por aí, não é mesmo?

A preocupação maior no que tange os cartões com chip é a perda ou o roubo. Mesmo nesses casos o usuário deve se tranquilizar. Esses cartões exigem senhas por parte do usuário, e se essas senhas são inseridas incorretamente por 3 vezes seguidas, o cartão é imediatamente bloqueado. Para o usuário que perdeu seu cartão, basta cancelá-lo e requisitar outro do banco ou do operador.

Outro quesito que demanda um cuidado são as transações via Internet com cartões de crédito ou débito. Nesses casos, com ou sem chip o procedimento é o mesmo: passamos nossas informações para o site em que estamos efetuando a compra. Todo cuidado é pouco com o computador onde realizamos essa transação (antivírus em dia, varreduras constantes, etc). E nada de fazer compras ou transações bancárias a partir de computadores de uso público tais como em lan houses, OK?

Até a próxima.

Privacidade em extinção. E daí?

2011-02-28T10:30:00.001-03:00

A privacidade é um conceito em extinção. Mas e daí?

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Ontem tive uma excelente conversa com meu amigo Daniel, colega de turma na Engenharia da Computação da Unicamp um quarto de século atrás, e atualmente professor na Universidade do Rio Grande do Norte, em Natal. Falamos sobre uma discussão nossa do ano passado acerca da lenta e gradual perda de privacidade pela qual todos passamos atualmente.

O ponto de vista dele é mais ou menos igual ao meu: a preservação de informações na Internet está, de fato, erodindo nossa privacidade. Fotos embaraçosas do tempo de faculdade, por exemplo, estão aí para quem se dispuser a procurar, e alguém disposto a acompanhar nossas andanças pela Web vai conseguir montar um perfil bem preciso acerca de nossas preferências, podendo direcionar campanhas publicitárias mais eficazes tendo-nos como alvo.

Sim, o conceito de privacidade que vigorou até o fim do milênio passado está em extinção. O pouco dessa privacidade que ainda nos resta vai se reduzir mais ainda nas próximas décadas, aposto. Mas a pergunta básica nesse caso é: e daí?

O Daniel trouxe um exemplo que é bem a sua cara, por ser uma pessoa de hábitos simples e jeitão de interiorano. Nas pequenas vilas e cidadezinhas em nosso país (e, aposto, em qualquer país do mundo a situação vai ser a mesma) o conceito de privacidade é bem tênue há muito, mas muito tempo, tendo atingido esse estado bem antes da existência da Internet. Nessas pequenas comunidades todos sabem quem está desempregado, quem tem predileção exacerbada pelo álcool, quem são os cônjuges menos afeitos ao conceito de fidelidade matrimonial, quem já foi preso, quem deve para quem, e por aí vai. E mesmo nesses lugares, a vida continua. Todo mundo sabe da vida de todo mundo, e todo mundo sabe que todo mundo sabe da vida de todo mundo. Esse jogo às claras não impede o relacionamento entre as pessoas, nem causa mais estranheza. As pessoas entendem que a vida é assim e se adaptam. O fato de que somos todos humanos, cheios de muitos defeitos e com algumas qualidades (como o Daniel colocou muito bem) nivela o jogo.

No nosso contexto de perda da privacidade na Internet a situação não é tão diferente: somam-se aos curiosos de plantão (nada diferentes das pessoas “faladeiras” existentes em qualquer lugar) as corporações e, infelizmente, os bandidos. Quanto às corporações, enquanto querem apenas descobrir meus gostos para melhor vender para mim, não vejo, pessoalmente, um grande problema nisso. Prefiro essa situação a ter vendedores de piano de cauda batendo à minha porta sendo que eu nem toco piano. Quanto aos bandidos, aí é que a coisa fica bem diferente mesmo. Esses, a meu ver, são o grande problema. Esses, quando têm informações a meu respeito, causam dano. Mas o conjunto de informações que devo preservar contra as investidas desses bandidos é bem pequeno e definido, podendo ser protegido com a aplicação de cautela e a adoção de técnicas adequadas de segurança da informação. Esse processo de conscientização, quando estendido àqueles que nos cercam (família, amigos mais próximos, colegas diários de trabalho), tende a criar uma consciência coletiva voltada para a segurança que nos protege e protege aqueles que nos são caros. De resto, a privacidade está rapidamente se tornando uma ilusão. Quanto mais cedo percebermos isso, mais frustração evitaremos em nossas vidas.

Até a próxima.

Pirataria + Preguiça = Problema

2011-02-24T00:00:00.002-03:00

Ser pirata tende a ser um problema. Ser pirata e preguiçoso é muito pior. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Um ouvinte que se identifica como “Piratex” enviou a seguinte questão:

"Estou mandando essa pergunta porque vc [sic] não costuma jugar [sic] os usuários por causa da pirataria e eu sou pirata mesmo e nunca me aconteceu nada de ruim por causa disso nesses anos todos que eu pirateio sem problema nenhum no meu computador. Ontem eu baxei [sic] um filme que pediu um codecchamado [sic] www.infoavi.com e eu fiquei desconfiado porque meu plaiyer [sic] sempre ta [sic] atualizado e nunca pede outro codec para tocar os filmes que eu pego na net. Sera [sic] que tem problema ir nessa pagina [sic] buscar esse codec pra [sic] tocar o filme no meu computador?"

Piratex, meu caro (ou minha cara), que mensagem impressionante essa sua. Não, não costumo julgar a questão da pirataria sob o ponto de vista ético, pois esse não é o propósito desse blog. Infelizmente, é impossível deixar de avaliar mais criticamente seu pedido de ajuda, e faço isso na esperança de ajuda-lo, e não por qualquer outro motivo.

Em primeiro lugar, ao enviar perguntas para esse ou para qualquer outro blog (e espero que você mande outras, no futuro), sugiro um pouco mais de cuidado com a forma com que você se expressa. Um pouco mais de cuidado com o texto facilita que a gente entenda a pergunta e responda de forma precisa, atendendo suas expectativas.

Mas isso é secundário, claro. O que importa é a dúvida em si, e nela vai outro julgamento, infelizmente. Já falei aqui sobre o assunto dos materiais pirateados que tentam levar os usuários a baixar players e codecs em seus computadores, sendo que esses escondem códigos maliciosos. Uma pequena busca aqui no 5 Minutos de Segurança mostra vários artigos falando desse assunto (por exemplo esse, esse e esse), e se você tivesse feito essa pequena busca por aqui, teria encontrado amplas evidências da picaretagem que ocorre com esse filme que você baixou.

Outra fonte interessante é o Google, que mostra várias páginas falando sobre a malandragem quando buscamos pela expressão “www.infoavi.com”. Bastava uma pequena busca, que não dura 10 segundos, mais uma ou duas leituras de 30 segundos cada uma, para você constatar o óbvio: que se trata de um baita golpe!

Em que pese eu não julgar a ética do seu ato de pirataria, Piratex, não posso deixar de passar-lhe um pito por sua preguiça. As duas buscas que mencionei são simples de fazer e bem óbvias para qualquer usuário. Ao passar a pergunta para mim, você passa o “trabalho” também para mim. Tudo bem, pois é meu papel de profissional de segurança e de blogueiro responder às dúvidas dos leitores e ouvintes, mas será que teria sido muito custoso obter as respostas que estou te passando agora? Penso que não, e penso também que como vantagem, uma busca feita por você teria te economizado esse pito. E teria feito ainda mais, Piratex: teria dado a você a responsabilidade sobre sua segurança. É muito fácil transferirmos essa responsabilidade para outros (e muitas vezes fazemos exatamente isso), mas nem sempre escolhemos os melhores depositários para essa transferência. Em suma: muito cuidado com quem você escolhe para perguntar. Uma busca feita por você, ao contrário, mostra várias fontes e várias respostas, te dando a chance de formar uma opinião e de decidir por si mesmo.

Mas nem tudo nessa resposta é julgamento e pito, Piratex. Você fez uma coisa muito certa — que foi não ceder à tentação da negligência — optando por perguntar antes de agir. Muita gente na mesma situação não raciocina, vai até a página indicada pelo suposto filme e baixa o player falso. Aí se infecta e sofre as consequências dessa negligência. Parabéns por não ter caído nessa tentação.

Até a próxima.

Mais segurança no Gmail

2011-02-21T09:10:00.001-03:00

O Gmail oferece mais segurança do que muita gente pensa. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O Gmail está oferecendo a partir deste mês um mecanismo complementar de segurança que é muito útil e simples de usar: a autenticação em duas camadas.

Autenticação, para quem não se lembra, é o ato de mostrar para um sistema qualquer que você é o “autêntico” você, e que portanto tem o direito de acessar o recurso à sua frente. O mecanismo de autenticação mais comum em uso é a senha. Só você deve saber sua senha, e quando um sistema qualquer recebe o nome associado à sua conta e mais sua senha, assume que é o “autêntico” você que está querendo o acesso.

Só que hoje em dia tem muita gente se especializando em roubar nossas senhas, não é verdade? E, para também assumirmos nossa parcela de responsabilidade, muitas vezes nós facilitamos o serviços desses bandidos, adotando senhas fáceis de serem deduzidas.

Entra em cena a autenticação em duas camadas. Funciona assim: o usuário interessado em aproveitar essa camada adicional de segurança cadastra um número de celular no Gmail, e sempre que tentar entrar em sua conta, usando seu nome e sua senha, receberá via mensagem SMS — o nosso famoso torpedo — uma mensagem com um código de verificação composto por seis números. Aí é só colocar este número no campo de verificação, e pronto: temos acesso à nossa conta do Gmail. Dessa forma, se algum bandido deduz sua senha, não vai conseguir acesso aos seus e-mails, pois quando tentar acessar sua conta, não terá acesso ao código enviado no torpedo. A menos claro, que o bandido também roube seu celular, mas isso já é outra história.

O Gmail também adiciona alguns mecanismos de “backup”, pois algo pode dar errado no envio desse torpedo, não é mesmo. O plano “B” é um segundo número de celular que pode ser cadastrado. Muita gente tem dois celulares (um pessoal e outro da firma), e isso pode ajudar. O plano “C” é uma lista de 10 conjuntos de números, tipo aqueles cartões de senhas que alguns bancos costumavam usar, que o usuário imprime e guarda na carteira.

Pronto. Com esse mecanismo (e com os planos “B” e “C”) o usuário do Gmail não tem porque reclamar da autenticação deste serviço de e-mail. Principalmente porque o uso do mecanismo é gratuito. Os preguiçosos, por outro lado, poderão até achar o mecanismo complicado, deixando de usá-lo. Desses, para falar a verdade, eu não tenho um pingo de dó.

Até a próxima.

Malware e Imposto de Renda

2011-02-17T10:06:00.002-02:00

Tempo de declaração costuma trazer ataques de malware. O bom é ficar atento. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo da Help Net sobre um golpe do Imposto de Renda atualmente sendo aplicado nos EUA.

Para ler esse artigo, clique no botão abaixo.

Auditando os "amigos" no Facebook

2011-02-14T08:54:00.001-02:00

Será que todo mundo em nossa lista de “amigos” no Facebook deveria estar lá? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para ler um artigo do blog da F-Secure sobre como manter-se seguro no Facebook.

Para ler esse artigo, clique no botão abaixo.

Em um artigo interessante no blog da F-Secure encontrei algumas dicas ótimas sobre como melhorar nossa segurança no Facebook.

O artigo começa sugerindo uma pequena “auditoria” em nossa lista de amizades, com o intuito de julgarmos o quanto as pessoas que lá estão são relevantes. Em uma rápida pesquisa entre familiares e amigos, descobri que quase ninguém pensa na lista de amigos do Facebook como algo que precise de manutenção. Muitas vezes aceitamos pedidos de amizade de pessoas que são de quase nenhuma relevância para nós, e de quem temos pouca — se é que alguma — informação. Em função disso, as chances são enormes de você se perguntar “quem é mesmo essa pessoa” para um monte de gente em sua lista de amizades.

Por que isso é um problema? Bem, por várias razões. A questão da privacidade é uma das principais: colocamos informações pessoais no Facebook, que não são problemáticas se nossos amigos ficam sabendo. Mas se não conhecemos efetivamente todo mundo em nossa lista, a coisa já começa a complicar. A pergunta a fazer quando olhamos para uma pessoa em nossa lista de amigos é a seguinte: será que confio o suficiente nessa pessoa para partilhar com ela as coisas que publico em minha paginado Facebook? Se a resposta for “não” ou “não sei”, o melhor é tirar logo a pessoa da lista.

“Puxa, você é muito radical”, disse-me um amigo quando fiz esse comentário. “Paranoia pouca é bobagem”, disse um ouvinte em um dos meus áudios no YouTube. Discordo da primeira afirmação, e concordo veementemente com a segunda. Não, não é radicalismo cuidarmos de quem tem acesso às nossas informações. Sim, paranoia pouca é bobagem. No que tange minha segurança, sei por experiência de vários anos que a paranoia é muito preferível à negligência. A vasta maioria dos problemas de segurança que encontro pessoal e profissionalmente — vírus, hackers, perda de dados, golpes, etc. — poderiam ter sido evitados se a vítima tivesse sido um pouco mais cautelosa, isso é: um pouco mais paranoica.

Ainda na questão da auditoria na lista de amigos do Facebook (ou do Orkut, ou de qualquer outra rede social), os mais descrentes podem pensar pelo outro lado e responder: qual a grande vantagem de se manter alguém em quem não se confia na lista de amigos? O que ganhamos com isso? Por acaso existe alguma vantagem em termos centenas de pessoas na lista, muitos deles, desconhecidos? Lembrando que links maliciosos, SPAM, postagens com malware vêm todos através de contas infectadas no Facebook, será que é mesmo vantagem aumentar tanto minha lista de amigos a ponto de não conhecer todo mundo que está lá?

Mudando de assunto, troquei de máquina recentemente, e ainda não tenho a menor ideia de qual aplicativo usar para editar áudio e vídeo no meu novo sistema operacional. Devo descobrir em breve, e aí voltamos ao normal com as áudios via YouTube (provavelmente vou aproveitar a oportunidade para descontinuar os áudios via FileFreak, que estão dando trabalho demais para quase nenhum ouvinte).

Até a próxima.

O que os vírus dizem sobre nosso comportamento

2011-02-10T08:17:00.002-02:00

Os principais códigos maliciosos à solta na Internet nos contam coisas interessantes (e preocupantes) sobre o estado de nossa segurança. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para ler um artigo do blog Malware City sobre os principais códigos maliciosos à solta.

Para ler esse artigo, clique no botão abaixo.

A especialista em segurança Loredana Botezatu, da BitDefender, comentou ontem em um artigo no blog da empresa, o “Malware City”, acerca dos principais códigos maliciosos à solta na Internet. Observando os três primeiros colocados na lista dos “Top-10” podemos chegar a algumas conclusões interessantes — e mesmo preocupantes — sobre o estado de nossa segurança na Internet.

O terceiro colocado é o worm "Downadup”, que é um dos nomes pelos quais o famosos vírus Conficker se apresenta. Este código malicioso ocupou a primeira colocação nas últimas listas da BitDefender, e o fato de estar caindo de posição é uma boa notícia. Isto porque o Conficker ataca máquinas com o sistema operacional Windows XP instalado que não tenham aplicado a correção disponibilizada pela Microsoft. Ao cair de posição o Conficker nos informa que os usuários estão de fato aplicando a correção ou (o que é ainda melhor) migrando para sistemas operacionais mais novos, tais como o Windows 7 (ou mais seguros, como o Linux e o MacOS).

Esta boa notícia é sucedida por duas más notícias, no entanto.

Em segundo lugar na lista está o Trojan.Crack.I, que é um cavalo de troia associado aos famigerados geradores de número de licença, os keygens. A presença deste código malicioso tão alto na lista nos diz que a pirataria está cada vez mais em alta (o que de fato não é nenhuma novidade...). O problema com esta situação é aquele que de vez em quando eu comento aqui no 5 Minutos de Segurança: a pirataria é um prato cheio para os ciber-criminosos, que desenvolvem pragas tais como o Trojan.Crack.I com o objetivo de roubar informações e invadir máquinas cujos donos baixam ilegalmente programas em seus computadores. Este cavalo de troia vem ä tiracolo” de vários keygens, e uma vez presente no computador infectado, coleta várias informações sobre o que está instalado na máquina e as envia aos seus criadores. Ele também abre uma “porta dos fundos” na máquina, permitindo que os ciber-criminosos invadam o computador a posteriori. Nada interessante entreter esse tipo de praga em nossos computadores, não é mesmo? E evitá-la não é nada difícil: basta que o usuário se mantenha bem afastado de programas piratas. Simples, não?

A outra má notícia é a presença do Trojan.AutorunINF.Gen no topo da lista. Este cavalo de troia é uma praga que se espalha através das populares mídias móveis, tais como pendrives USB e memórias SD e MicroSD. Uma vez que a mídia infectada é plugada no computador, a praga se transfere para o disco e fia à espera de outra mídia móvel para infectar. Evitar este tipo de praga também não é difícil, bastando desligar a função “Autoplay” do computador, o que evita que o código malicioso seja executado e se instale na máquina.

Todos os códigos maliciosos presentes no “Top-10”publicado pela BitDefender já são identificados e erradicados pelas mais novas atualizações dos principais antivírus de mercado. O que é necessário é mantermos nossas bases de assinaturas de vírus atualizadas e realizar as varreduras periódicas em nossos discos.

Hoje estou em trânsito, mais em aeroportos e em taxis do que em algum lugar calmo e silencioso que me permitisse gravar o áudio, que estará ausente deste artigo. Na segunda-feira voltamos ao normal.

Até a próxima.

Versões antigas do Windows são vulneráveis

2011-02-07T06:31:00.001-02:00

Versões antigas dos sistemas operacionais da Microsoft merecem cuidados especiais. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo com quatro previsões de segurança para 2011 da F-Secure.

Para ler esse artigo, clique no botão abaixo.

Em um recente artigo publicado no blog da F-Secure, a empresa finlandesa de soluções de antimalware, encontrei quatro previsões interessantes para a segurança no ano de 2011. Uma delas me chamou a atenção por ser de especial interesse para o usuário doméstico.

Em 2011, segundo a previsão, veremos mais ataques em versões antigas do Windows. O artigo afirma, com razão, que a última encarnação dos sistemas operacionais da Microsoft, o Windows 7, tem mecanismos de segurança que trazem por si só uma relativa segurança ao usuário, mas que estes mecanismos ainda não existiam em versões anteriores. O artigo afirma, ainda, que o sistema operacional mais popular do planeta ainda é o Windows XP, um sistema operacional que em agosto de 2011 completa 10 anos. Não é à toa que o XP fez tanto sucesso, pois é mais robusto e mais versátil, que seus antecessores; mais leve e mais rápido que seu sucessor imediato, o Windows Vista; e é mais barato que o sucessor atual, o Windows Vista.

Infelizmente, também é um sistema operacional que se não estiver com todas as últimas correções instaladas, apresenta várias vulnerabilidades que deixam o computador à mercê de ataques por parte de hackers e códigos maliciosos, tais como worms, cavalos de troia e vírus de vários calibres.

Não é incomum encontrarmos por aí computadores com versões ainda anteriores ao Windows XP, tais como o Windows ME, o Windows 2000, o Windows 98 e mesmo o Windows 95. Sobre essas versões anteriores, é importante observar que nenhuma delas ainda conta com suporte da Microsoft, isto é, se novas vulnerabilidades são encontradas, elas permanecem abertas. O artigo informa, inclusive, que há suspeitas que o vazamento de óleo no Golfo do México que ocorreu no ano passado pode ter sido parcialmente causado por falhas no sistema operacional Windows NT, ainda presente em computadores que gerenciavam certos sistemas do processo de extração de petróleo.

O principal problema com máquinas rodando sistemas operacionais antigos é a impossibilidade do hardware de “aguentar” versões mais novas. Máquinas produzidas no início da década passada não têm processadores poderosos o suficiente para rodar versões mais novas e ainda suportadas dos sistemas operacionais da Microsoft. Nem memória, e nem disco, diga-se de passagem. O ideal nesses casos seria a adoção de alguma das versões do Linux, mas estou ciente de que isso seria uma mudança radical demais para a maioria dos usuários.

A sugestão mais sensata — se o orçamento do usuário permitir, claro — é que este usuário considere a troca da máquina como um todo, por uma mais nova, carregada com sistema operacional mais recente. Se isso não for possível, a dica é mais radical: evitar usar o computador para realizar quaisquer funções que envolvam a Internet. Simplesmente não dá para garantir que a máquina vá estar segura se o usuário conectá-la à rede, e a melhor alternativa é evitar todo tipo de conexão.

Já se o usuário usa o Windows XP, a dica é mantê-lo atualizado sempre com as últimas correções, que continuarão disponíveis até 2014, segundo a Microsoft.

Até a próxima.

Comparativos de antivírus: temos que considerar a fonte

2011-02-03T10:09:00.006-02:00

Será que podemos confiar em todos os comparativos de produtos de segurança que encontramos? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ir à página do comparativo de antivírus gratuitos sugerida pelo ouvinte.

Clique aqui para baixar o comparativo de soluções de antivírus da AV-Comparatives.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Carlos mandou a seguinte dica:

“Vi que seu último comparativo é de Agosto do ano passado. e de lá para cá muita coisa pode ter mudado. Aí resolvi procurar comparativos mais novos e achei um no site HTTP://best-free-antivirus.tk que é bem atualizado. Divulga aí para seus seguidores do blog que acho importante.”

Em primeiro lugar, muito obrigado pela dica, Carlos. É bom ver pessoas interessadas em procurar recursos de segurança e divulgá-los para os demais usuários. Por isso estou divulgando-a, para que outros usuários se animem em procurar por si mesmos recursos na Internet que melhorem sua própria segurança.

Agora, é só por isso, viu...

Os ouvintes podem estar se perguntando se comi bola, isso é, se não estou bobeando em atualizar o comparativo de antivírus que periodicamente publico aqui no 5 Minutos de Segurança.

Ocorre o seguinte: depois de analisar muitas fontes de informação, cheguei à conclusão que várias delas não são fidedignas, não apresentam dados de qualidade. Muitas, inclusive, são patrocinadas por fornecedores de soluções de segurança, e apresentam dados distorcidos para venderem seus produtos.

O site indicado pelo Carlos é um caso em que as informações não me parecem nada confiáveis. Os autores não mostram os testes que foram realizados, não falam em que bases foram feitas as comparações, não dizem que quesitos foram testados (por exemplo, abrangência, velocidade, consumo de recursos, facilidade de uso, e por aí vai). Os autores também empregam, no cabeçalho do teste, frases que são genéricas demais, dizem muito pouco, e inclusive são falsas, como por exemplo “Em muitos casos, antivírus gratuitos podem oferecer mais ou menos a mesma proteção que produtos pagos. Combinados com firewall, proveem segurança suficiente para qualquer tipo de usuário.”

“Em muitos casos”? Que casos são esses. Em que casos isso não é verdadeiro? “Mais ou menos a mesma proteção”? O que quer dizer “mais ou menos”? Em que situações é menos? Será que eu não deveria saber que situações são essas antes de me decidir pela solução gratuita ou pela solução paga? Lendo com calma e critério o texto dos autores, dá para ver várias outras instâncias em que não dá para confiar nas supostas “informações” apresentadas.

Em suma, Carlos, esse site que você indicou não se mostra uma fonte confiável. Compare essas informações, por exemplo, com o teste proativo/retrospectivo da AV-Comparatives (link acima). Você vai ver claramente os critérios dos testes, os resultados objetivos e indicações claras de quem são as melhores soluções de fato.

Quando o assunto é segurança, Carlos, é importantíssimo considerar a fonte das informações.

Até a próxima.

Sobre o antivirus que vem no computador

2011-01-31T08:35:00.001-02:00

O que dizer sobre o antivírus que vem instalado de fábrica em nosso computador novo? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Heitor pergunta:

“Esse ano me dei de presente de natal um notebook Windows. Ele já veio com antivírus da Symantec, que estava fazendo com que a máquina ficasse lenta. Desinstalei o Symantec e instalei uma versão gratuita do ESET, e a máquina está uma beleza de rápida. Você acha que estou perdendo muito com essa troca?”

Bem, Heitor, uma troca deste tipo tem seus prós e contras, e uma avaliação mais profunda depende de mais tempo de uso e também do tipo de utilização que você faz da máquina.

Ambas as soluções que você cita são excelentes: o Symantec é uma das mais renomadas soluções de antivírus, com mais de 20 anos “de estrada”, e o ESET é um ótimo antivírus da safra mais recente de soluções desse tipo.

Já ouvi comentários de outros usuários acerca da carga que a solução da Symantec imputa ao sistema, bem como já ouvi usuários satisfeitos com o desempenho de seus computadores, mesmo com esta solução instalada. É uma questão que depende da configuração da máquina (ou seja, do processador, da quantidade de memória, da configuração de paginação, por exemplo), e não são poucas as configurações de máquinas à venda em que os requisitos ficam aquém do que é exigido pela solução da Symantec e por outros produtos. Existem, inclusive, configurações de máquina em que a solução de antivírus é instalada em modo de demonstração, perdendo a validade depois de algum tempo, o que exige que o usuário pague pela licença ou instale outra solução.

Em suma, não dá para dizer se é ou não um bom negócio desinstalar uma solução pré-configurada e trocar por outra, Heitor. Se no seu caso a máquina ganhou desempenho e o ESET atende suas necessidades de antivírus, creio que você não está perdendo nada. Principalmente se não utiliza as características de anti-spyware, anti-phishing, integração com leitores de e-mail, integração com o navegador, etc. que já vêm com o Symantec.

O que realmente importa é você conhecer as limitações de sua solução e adequar seu comportamento (e também adotar soluções complementares) de forma a não ficar descoberto em termos de segurança.

O que eu não recomendo de jeito nenhum, Heitor, é você sacrificar sua segurança para obter um pouco mais de desempenho da máquina. Nada de desativar antivírus e firewall, nada de deixar o antivírus desatualizado, nada de instalar coisas na máquina que exijam a desativação de programas de segurança. Não vale a pena de jeito nenhum correr riscos para que a máquina fique um pouco mais rápida.

Até a próxima.

As redes sociais mais perigosas

2011-01-27T07:06:00.002-02:00

À medida que as redes sociais crescem, crescem também os perigos a que expõem seus usuários. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler or artigo completo da Help Net Security sobre as redes sociais mais arriscadas.

Para ler esse artigo, clique no botão abaixo.

Sim, as redes sociais chegaram para ficar, e só têm feito crescer. Essa taxa de crescimento não mostra sinais de diminuir num futuro próximo ou distante, e tem sido assim desde que o Orkut chegou ao Brasil em janeiro de 2004. “É inevitável”, como diria o Agente Smith, no filme Matrix.

E justamente por sua popularidade, as inúmeras redes sociais disponíveis para o usuário se tornam problemas para empresas e domicílios, muitos desses problemas na área de segurança. O site Help Net Security publicou ontem um interessante artigo listando os problemas gerados pelas redes sociais, e mostrando as redes sociais mais passíveis de problemas de segurança.

Os principais problemas já são velhos conhecidos de quem estuda o assunto, sendo que a perda de produtividade é o que mais impulsiona as empresas a impedirem o acesso às redes sociais dentro do escritório. Outro problema potencial para as empresas é o vazamento de dados, uma vez que o compartilhamento de informações é altamente incentivado nas redes sociais. Por fim, a questão da disseminação de códigos maliciosos também pesa bastante, pois o ambiente de uma rede social incentiva a confiança dos usuários em seus próprios relacionamentos. Nessa questão dos códigos maliciosos, ainda existe o fato de que as redes sociais no mais das vezes pecam no quesito técnico, permitindo a existência de inúmeras vulnerabilidades que facilitam a disseminação de ataques e vírus. Some-se a isso o fato de que cada vez as redes se popularizam mais, e temos aí um vetor fantástico para a disseminação de ameaças digitais.

A lista das redes sociais mais perigosas é encabeçada, claro, pelo Facebook, uma vez que quase um em cada dez habitantes do planeta participam do site, e o mesmo não prima pela proteção à privacidade nem à proteção de sua base de dados. Prova disso é que ontem mesmo a página de seu fundador, Mark Zuckerberg foi hackeada como forma de protesto contra a associação do Facebook com a empresa Goldman Sachs.

O Twitter vem em segundo lugar, e aqui as ameaças vêm dos links publicados pelos usuários, uma vez que esses links podem ser disfarçados pelos serviços de encurtamento de URLs e podem levar a sites maliciosos.

Em seguida vem o YouTube, e função de vídeos e sites maliciosos disfarçados de páginas do site, além dos links disseminados na seção de comentários.

O Linked In, rede social de troca de informações profissionais também ganha destaque, uma vez que tem as informações mais valiosas para hackers e ciber-criminosos. Esta rede social tem se tornado alvo preferencial em função da qualidade das informações que armazena.

Outros sites de relacionamento listados são o 4Chan e o ChatRoulette, o primeiro de disseminação de imagens e o segundo de vídeo-chat.

Não dá para parar o crescimento das redes sociais, claro, mas precisamos aprender um poço mais como usar as mesmas sem nos colocarmos em risco. Saber quais são as mais perigosas já é um bom começo.

Até a próxima.

Imprimiu? Vá buscar!

2011-01-24T09:03:00.002-02:00

A impressora do escritório é uma fonte de informações confidenciais que precisam ser protegidas. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Um ex-aluno contou-me recentemente uma história daquelas que doem só de ouvir. Ao longo de alguns meses informações sigilosas da empresa foram parar nas mãos da concorrência, causando prejuízos que ainda estão sendo contabilizados. A área de segurança fez as diligências necessárias, mas nada encontrou no ambiente que revelasse a existência de algum “buraco” por onde os dados pudessem estar vazando. Até uma empresa externa foi contratada para a realização de um dos chamados “testes de penetração”, em que a resistência do ambiente a ataques externos é testada. E nada: firewalls atualizados, com regras robustas; antivírus evitando a entrada de cavalos de troia e outros códigos maliciosos; controle de acesso aos servidores muito bem mantido, sem que usuários comuns tivessem acesso às máquinas, e por ai vai.

Nada do que foi testado indicava haver problemas, e o mistério continuou até que alguém olhou para as impressoras e percebeu um baita problema: o material impresso nem sempre era buscado logo após a impressão, ficando exposto na bandeja da impressora sem supervisão alguma. Mais ainda: depois de algumas horas na bandeja, algum funcionário — para impedir que a bandeja ficasse sobrecarregada de material impresso — sempre tirava as páginas e as colocava em cima de um armário, onde as mesmas permaneciam às vezes até por semanas, até que fossem recicladas. Em meio à pilha, relatórios de faturamento, listas de clientes, propostas técnicas e comerciais, e por aí vai.

Quando entrevistados alguns dos “donos” dessas impressões, a desculpa para a negligência era quase sempre a mesma: “mandei imprimir, mas tive que atender a um assunto mais urgente, e depois esqueci de buscar a impressão”. Outros deram a dica de como os vazamentos ocorriam: “pois é, imprimi, me distraí, e quando fui lá buscar, o documento não estava mais lá. Imaginei que alguém tivesse levado sem querer, ou posto para reciclar. Aí imprimi novamente, busquei o documento e esqueci o assunto.”

A partir desse ponto não foi muito difícil “fechar o vazamento”, evitando que os prejuízos se estendessem, com uma campanha de conscientização sobre o correto uso das impressoras sendo uma das principais medidas em curso.

Quando olho para a história toda, percebo que quase todos nós temos a impressora do escritório como ferramenta necessária de trabalho, com informações sensíveis para nossa empresa sendo impressas por nós o tempo todo. Será que tratamos esses documentos com a devida responsabilidade? Entre a impressão do documento e o mesmo estar em nossas mãos, vai um tempinho, no qual o documento está “descoberto”. Será que nos preocupamos em buscá-lo de imediato? Será que não andamos nos esquecendo de documentos importantes que ficam “ao léu” na bandeja da impressora? Será que vamos precisar ver nossa empresa incorrer em prejuízos antes de aprendermos a lidar responsavelmente com os recursos de impressão à nossa disposição?

Há uma frase antiga que diz que inteligente é aquele que aprende com os próprios erros, mas sábio é aquele que aprende com os erros dos outros. Espero que todos escolhamos a segunda opção.

Até a próxima.

Um pouco sobre desempenho

2011-01-20T10:37:00.001-02:00

Nem sempre o desempenho baixo (ou em deterioração) da máquina ocorre por problemas de segurança. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para para ir à página do Hijack This no site da Trend Micro.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Celso mandou o seguinte questionamento:

“Gostei muito da sua dica sobre o CCleaner, e hoje eu utilizo regularmente para limpar meu micro. Mesmo assim, consigo perceber que a máquina está cada vez mais lenta, principalmente para dar boot e na execução de alguns aplicativos. O CCleaner não está ajudando, e acho que pode ser algum vírus que passa pelo meu antivírus apesar de estar sempre atualizado. Tentei usar o Malwarebytes e o Hitman para tentar pegar algum vírus diferente, mas na consegui nada. Será que estou sendo hackeado sem saber? Ou será que é alguma botnet que está sugando meus recursos?”

Muito bom ler em sua mensagem que você toma precauções para se proteger, Celso, inclusive com a utilização de antivírus complementares tais como o Malwarebytes e o Hitmam Pro. Muito bom, também que você mantenha seu antivírus principal em dia.

O fato é que talvez a sua questão não seja um problema de segurança. As chances são muito pequenas de uma infecção passar por vários antivírus diferentes em uma máquina rotineiramente bem cuidada. Em seu caso, talvez a utilização de mais alguns antivírus complementares, tais como o BitDefender e o House Call possam ajudar, mas se nenhum deles mostrar nada errado com o computador, pode ser que você não tenha um problema de segurança.

O que pode estar acontecendo, se não for uma infecção, é algo de muito comum e muito natural na vida de nossos computadores: o passar do tempo.

À medida que o tempo passa, vamos aos poucos instalando pequenos aplicativos na máquina. Nada de muito abusivo (senão a gente sente os efeitos de imediato), mas um descompactador aqui, um Messenger ali, e depois de algum tempo, a máquina começa a ficar lenta, mesmo. O interessante é que em muitos casos nós nem usamos mais muitos desses pequenos aplicativos, ou se usamos é bem esporadicamente. Só que mesmo sem serem acionados, eles colocam algum peso no processamento, que quando totalizado, realmente tira desempenho da máquina de forma sensível.

Minha sugestão para você é dar uma olhada no que tem instalado na máquina e verificar se você pode retirar alguma coisa que não use mais. Desinstalando aplicativos inúteis, você deve recuperar algum desempenho. Outra dica é a seguinte: alguns aplicativos que usamos de vez em quando colocam processos para executar quando iniciamos a máquina que ficam “no ar” independente de usarmos o aplicativo ou não. São atualizadores e monitores de ação que agilizam a inicialização do aplicativo quando os usamos. Mas se só usamos os mesmos de vez em quando, na vasta maioria dos casos isso não faz diferença.

Para dar uma verificada no que está sendo inicializado (e fica comendo desempenho durante sua utilização da máquina) existe um pequeno aplicativo gratuito chamado Hijack This, da TrendMicro. Ao varrer seu computador com essa ferramenta, você vai gerar uma lista de tudo o que está no processador e na memória, que é iniciado quando liga o computador. Muitas das coisas que encontrar lá podem ser “desligadas”, o que economiza recursos da máquina. Agora um aviso: o Hijack This também vai listar um monte de coisas que devem continuar ativas, e não é assim tão trivial identificar o que pode ser desligado sem prejuízo daquilo que precisa ficar ativo. Minha recomendação é que você peça ajuda a alguém que conheça bem os sistemas operacionais da Microsoft para te ajudar nessa análise. Existem, por exemplo, muitos fóruns de discussão na Internet cujos frequentadores podem te dar dicas do que pode e do que não deve ser desligado.

De qualquer forma, o caso é interessante, pois mostra que: a) cuidar da segurança não é assim tão complicado, como você pode perceber; b) nem todos os problemas de nosso computador são devidos à segurança; c) sempre tem mais uma ferramenta que pode nos ajudar, e que vale a pena conhecer.

Espero que isso te ajude, Celso. A você e a outros ouvintes que estejam passando pela mesma situação.

Até a próxima.

"Segurança não é lombada"

2011-01-17T08:26:00.003-02:00

Segurança é um assunto visto como um empecilho, um freio que nos impede de irmos tão rápido quanto gostaríamos. Mas será que é assim mesmo? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para ler o artigo de Andrew van der Stock sobre a importância das listas de checagem.

Para ler esse artigo, clique no botão abaixo.

A frase título desse artigo “segurança não é lombada”, é do especialista Andrew van der Stock, e um texto sobre a importância das listas de checagem para a segurança de ambientes onde ocorrem transações financeiras. Fiquei feliz com o ponto de vista do autor, principalmente porque ele expressa uma baita verdade para aqueles que já fizeram a lição de casa em termos de cuidar de sua própria segurança.

Aqueles de nós que não estão ainda com a segurança em dia vão discordar, aposto. “Eu queria baixar aquele programa pirata, mas a tal da segurança não deixa”, “eu não gosto de ficar me preocupando o tempo todo por onde eu navego na Web”, “atualizar base de assinaturas de antivírus todos os dias toma tempo e consome banda”, e por aí vai. Essas e dezenas de outras reclamações mostram que quem ainda não aprendeu a pensar criticamente sobre segurança vai sempre achar “um saco” tudo o que diz respeito ao assunto. E isso não é diferente com muitas empresas por aí, viu... Já trombei com muitos gerentes e diretores de TI de empresas proeminentes que acham que segurança é só uma fonte de custos e de aporrinhação.

Mas pensemos de forma diferente por alguns minutos.

Imaginemos uma viagem para a região de floresta do nosso Centro-Oeste ou Norte. Se a oportunidade nos aparece, somos instados a tomar vacina contra malária, um mal que afeta a região. Mas ao contrário de a vacina ser uma fonte de aporrinhação, como muita gente pensa (pois temos que tirar tempo de nossa abarrotada agenda para ir ao posto de saúde, pegar fila e ainda por cima tomar uma injeção), a vacina é um habilitador que nos permite fazer coisas que de outra forma não nos seriam possíveis. Permite, por exemplo, que entremos despreocupados no avião, e curtamos despreocupadamente nossa viagem.

Em outras palavras, quando estamos seguros podemos ir além do medo do próximo passo, sem que consequências indesejáveis nos atinjam. Até porque aquele que ignora a segurança, não toma providência nenhuma para se proteger, e sai por aí fazendo as coisas, também está livre do medo. Mas as consequências não tardam em acontecer. Quando tomamos as providências necessárias à nossa proteção, a despreocupação surge da certeza de que fizemos tudo ao nosso alcance para que nada de mal nos aconteça, e também da certeza de que existem por aí alvos bem mais fáceis do que nós (e como os bandidos primam pela lei do menor esforço, essa é uma arma muito eficiente a nosso favor).

Estando seguro eu consigo realizar meu trabalho de forma mais eficiente, pois não fico o tempo todo sendo atrapalhado por vírus e hackers; meus dados estão protegidos contra perdas ou danos, o que é tranquilidade para mim e para meus superiores; eu consigo fazer compras on-line, aproveitando melhores preços e condições de pagamento, sem medo de ter meus dados bancários roubados; e por aí vai.

Ao invés de uma sequência de lombadas em meu caminho, me atravancando a velocidade e o desempenho, segurança é a certeza de que não há buracos na pista, nem curvas inesperadas, nem problemas potenciais com o carro, de forma que consigo dirigir seguramente até o limite permitido de velocidade.

O dia que conseguirmos entender isso, estaremos começando a perceber a real dimensão da segurança em nosso dia-a-dia. E como consequência, facilitaremos muito nossas vidas.

Até a próxima.

A maior ameaça em 2011

2011-01-13T10:43:00.001-02:00

O velho problema das mídias móveis — que desde o tempo dos disquetes causa problemas de segurança — é tido como a principal fonte de ameaças para o ano que se inicia. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo da Narus sobre as 10 principais ameaças de segurança para o ano de 2011.

Para ler esse artigo, clique no botão abaixo.

Um milhao de páginas falsas por hora

2011-01-10T07:34:00.002-02:00

Está tão fácil publicar uma página na Web que tem muita gente fazendo isso com objetivos explicitamente fraudulentos. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ir à página do Spam Clock.

Para ler esse artigo, clique no botão abaixo.

O título do artigo parece sensacionalista, mas não é. O site de buscas Blekko, novato na área em que o Google é o soberano inconteste, disponibiliza uma página desde o dia primeiro de Janeiro que deveria servir de alerta para todos nós. A página se chama “Spam Clock”, e lista em tempo real a quantidade de páginas de spam criadas desde o início do ano.

Essas páginas se passam pelas páginas genuínas, enganando os usuários caso não prestem atenção. Seu objetivo é claro: subir no ranking do Google para atrair mais tráfego e mais vítimas. Não se trata aqui de páginas ilegais ou oferecendo conteúdo ilegal, mas sim de “espertinhos” que tentam fazer com que seus pequenos empreendimentos cresçam na base do tráfego gerado por usuários desavisados. E nem sempre esses “empreendedores” têm a satisfação do cliente como interesse. Em um caso mais grave a empresa DecorMyEyes.com, que vende óculos pela Internet, atinge o topo dos resultados de busca orgânica pelo Google simplesmente porque é a campeã em reclamações dos usuários. Entregas erradas, falta de educação (e mesmo xingamentos) no atendimento telefônico, ameaças e até cobranças indevidas esperam quem se aventura a comprar um par de óculos de sol através dessa empresa. E o pior: seu dono usa a insatisfação gerada como estratégia: todas as reclamações e discussões entram no algoritmo de busca do Google, que eleva o site ao topo das buscas orgânicas para certas expressões-chave e em certos locais geográficos. E esse é o objetivo de todos os fraudadores de páginas Web à solta por aí.

Rich Skrenka, o fundador do site Blekko, resumiu a situação de forma interessante: hoje, 90% das mensagens de e-mail são lixo eletrônico, e a Web corre o risco de seguir o mesmo caminho. Isso significaria que as páginas relevantes seriam “afogadas” em um mar de baboseiras e ofertas de produtos, um cenário no mínimo desanimador.

E tem jeito de evitar isso? Bem, o caminho da legislação se mostra brutalmente ineficaz no que se refere ao spam de e-mail, e desconfio que esse caminho seria ainda mais inútil para páginas Web falsas. O que pode ajudar é a conscientização de todos nós, como sempre. A procura por algum produto via Google, por exemplo, não deveria parar quando encontramos o resultado. Deveríamos submeter esse resultado, isso é, a empresa em cuja página fomos cair, a mais alguns minutos de pesquisa para saber se é idônea. No caso da DecorMyEyes, essa empresa perderia muito tráfego, aposto, se os usuários buscassem mais informações sobre a mesma antes de comprar qualquer produto da página, pois o que mais tem publicado a respeito da mesma são reclamações de seus clientes.

Um pouquinho mais de empenho e atenção em nossas buscas, e um pouquinho menos de comodismo: eis aí duas resoluções de início de ano que podem melhorar bastante nossa segurança em 2011.

Até a próxima.

Um excelente final de ano a todos!

2010-12-20T10:21:00.008-02:00

O 5 Minutos de Segurança entra em recesso a partir de hoje.

Estaremos de volta no dia 10 de Janeiro de 2011.

Até lá fica o meu agradecimento a todos vocês por um ano de muito aprendizado e muita interação. Que 2011 seja um ano seguro para todos.

O vídeo abaixo mostra (para mim, pelo menos) do que somos capazes quando nos dispomos a surpreender positivamente e tocar os que nos cercam. Espero que vocês gostem:

Até 2011!

Endereços descartáveis de e-mail

2010-12-13T09:09:00.001-02:00

Quando algum site nos pede o e-mail para confirmação, corremos o risco de passar a receber spam. Como evitar isso? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler um artigo do site Fried Beef’s Tech sobre os e-mails temporários.

Para ler esse artigo, clique no botão abaixo.

Com variações, mas mantendo a ideia básica, isso já aconteceu com todos nós: estamos em busca de alguma informação na Web, e o site onde essa informação se encontra nos pede para nos cadastrarmos. Em meio aos dados requeridos, nosso endereço de e-mail. Fornecendo o e-mail, imediatamente recebemos uma mensagem de confirmação, e ao clicarmos no link de confirmação, finalmente temos acesso à informação desejada.

Se o papo terminasse aí, não haveria problema, não é verdade? Só que em muitos casos esse é apenas o começo da história. O site a quem demos nosso endereço de e-mail em alguns casos não age de forma ética, repassando esse endereço a outros ou mesmo usando o endereço sem nossa permissão para nos mandar mensagens não solicitadas. O spam começa a invadir nossos e-mails, obrigando-nos a perder um tempão para separar o joio do trigo em nossa caixa de entrada.

Como evitar isso? Como acessar informações que nos exijam cadastro sem expor nosso endereço de e-mail a uma enxurrada de spam?

Bem, a primeira sugestão é não pararmos a busca quando encontramos o site que nos exige dados de e-mail. Investir mais cinco minutos de busca pode render a mesma informação de forma menos invasiva, não é verdade?

Contudo, isso nem sempre vai ocorrer, e em algumas situações teremos mesmo que “morrer” com um endereço de e-mail. Para esses casos existem vários serviços gratuitos de e-mail temporário que vêm em nosso resgate. Em tais serviços podemos criar contas temporárias de e-mail, com validade desde alguns minutos até várias semanas. As mensagens recebidas são encaminhadas até nós, e quando a validade do e-mail temporário expira, deixamos de receber qualquer tipo de mensagem daquela fonte.

Tais serviços devem vir, obviamente, com o compromisso dos provedores de que nosso verdadeiro endereço de e-mail não será divulgado, o que é um procedimento padrão, caso contrário não teriam credibilidade nenhuma.

Alguns desses serviços são: o Mailinator, que cria contas temporárias de 48 horas; o MintEmail, que automaticamente atualiza sua caixa de entrada temporária, não exigindo que você recarregue a página enquanto espera pela mensagem que quer receber; o DodgeIt que também oferece serviço de avisos via RSS; o Guerrilla Mail, que permite que você inclusive responda e-mails através desse serviço temporário; o Mail Temporaire, que é francês e permite que o usuário escolha o tempo de validade do e-mail temporário; e o One Way Mail, que inclusive dispensa o registro o usuário. E olha que esses são apenas alguns, sendo que uma busca por “e-mail temporário” no Google certamente vai gerar dezenas de outros resultados interessantes.

Vale a pena protegermos nosso endereço de e-mail: é parte do pouco que ainda nos resta de privacidade na Internet.

Até a próxima.

Algumas previsões para 2011

2010-12-09T08:13:00.001-02:00

O cenário de segurança está mudando, e permite que os especialistas façam algumas previsões interessantes sobre segurança no ano que está para começar. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler as previsões da Cenzic para 2011.

Clique aqui para ler as previsões da IAPC para 2011.

Para ler esse artigo, clique no botão abaixo.

A Cenzic e a IATC publicaram recentemente suas previsões para o cenário de segurança em 2011. Algumas das previsões são de interesse dos usuários domésticos e do enorme contingente de usuários de informática no trabalho. Vamos avaliar cinco dessas previsões.

1. As aplicações móveis — aquelas que instalamos em nossos smartphones e em nossos tablets — vão se tornar alvo preferencial dos criminosos. À medida que essas aplicações deixam o setor de entretenimento e passam a ter propósitos sérios, também se ocupam de transações financeiras, e carregam dados sigilosos, elas farão com que os olhares dos bandidos cresçam sobre si. Essa atenção dos bandidos é sempre uma má notícia, e exigirá que empresas desenvolvedoras prestem uma atenção danada na segurança de suas aplicações. Também obrigará o usuário a ter muito cuidado e muito critério na hora de escolher as aplicações que baixa em seu dispositivo, atenção essa que deve estar presente na hora da escolha e também no dia-a-dia, quando surgirem novas atualizações. Nada de diferente do que já enfrentamos em nossos computadores, certo? Sim, com o agravante de que serão em muito maior número e muito mais pulverizadas em nossos dispositivos móveis, que também tendem a crescer em quantidade.

2. Agora que os ataques às aplicações Web estão em um patamar alarmante, o que se espera é que esses ataques sejam automatizados e popularizados através de “kits” gratuitos que auxiliam a explorar as vulnerabilidades existentes. Kits semelhantes já existem para ajudar os bandidos menos capacitados a construir seus códigos maliciosos e também para explorar vulnerabilidades de rede. Agora vão popularizar os ataques onde esses rendem mais: as aplicações na Web. Eis aí outro motivo para redobrarmos nossa atenção quanto às atualizações dos programas em nossos computadores. Quem ainda não tem esse hábito, é melhor desenvolver, e logo.

3. Os ciber-crimes atingirão mais pesadamente as pequenas empresas, uma vez que estas fazem mais e mais negócios via Internet a cada ano que passa. Os bots de roubo de informações financeiras e os ataques direcionados, perpetrados por hackers, voltarão suas baterias para as pequenas empresas e para os empreendedores caseiros. Nesse sentido a segurança da informação passará a ser uma questão de sobrevivência para esses pequenos negócios.

4. O roubo de informações nos caixas eletrônicos deve aumentar, mantendo a tendência desse ano. Aqui vale um pedido aos nossos bancos: devemos solicitar (em nossa próxima visita à agência) que os funcionários nos ensinem como identificar se um caixa eletrônico foi adulterado ou não. Penso que os bancos não estão fazendo sua parte em ensinar os clientes a identificar caixas eletrônicos adulterados, nem como devem se comportar diante de caixas eletrônicos em locais distantes ou em locais vazios.

5. Por fim, o Wikileaks, aquele site que está causando o maior bafafá por divulgar segredos de estado de vários países, já prometeu que vai divulgar segredos corporativos, isso é, de várias empresas e indústrias. Isso significa que nas empresas em que trabalhamos haverá marcação cerrada sobre todos nós e sobre nossas atitudes quando usamos os recursos de informática da empresa. Sabe aquele arquivo que você mandou imprimir e deixou “de bobeira” na impressora durante uma meia horinha à toa? Então, de agora para frente tende a lhe render no mínimo um belo pito do seu chefe.

Até a próxima.

A "Hora de Ouro" do phishing

2010-12-06T08:12:00.001-02:00

Um estudo publicado pela Trusteer mostra que a maioria das vítimas de phishing cai nas armadilhas logo na primeira hora do ataque. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Amit Klein, no blog da Trusteer sobre a “Hora de Ouro” dos ataques de phishing.

Para ler esse artigo, clique no botão abaixo.

O pesquisador Amit Klein, da Trusteer, publicou na semana passada um artigo no blog da empresa com o resultado de uma pesquisa interessante. Ao avaliar quanto tempo depois do lançamento de um ataque de phishing as vítimas reagem, isto é, caem na armadilha, Klein constatou que 50% dessas vítimas caem na arapuca na primeira hora do ataque. Essa hora inicial está sendo chamada de “Hora de Ouro”, e esse tipo de comportamento por parte das vítimas é o que mais dificulta na resolução do problema do phishing.

O estudo mostra ainda que em 5 horas, 80% das vítimas caem na armadilha, e em 10 horas esse número chega a 90% do total de vítimas. Isso significa que tirar um site de phishing do ar depois de 10 horas (ou mesmo depois de 5) é praticamente irrelevante. O problema se agrava porque é muito raro que se consiga identificar o ataque e tirar o site do ar durante a tal “Hora de Ouro”. Tipicamente mesmo as poucas horas que se passam entre o lançamento do ataque, sua identificação e as providências para tirá-lo do ar são suficientes para que a maior parte do estrago seja feita.

O que mais incomoda nessa história toda é o fato de que os usuários reagem tão rapidamente aos ataques, entregando-se em questão de minutos aos bandidos. Falta um pouco de bom-senso, e um outro tanto de cautela. Esses 50% de vítimas da primeira hora, aposto, não fazem checagem alguma antes de sair clicando em links e dando seus dados. Não se perguntam se o pedido é legitimo, não ligam para a instituição supostamente pedindo os dados, não checam com amigos ou conhecidos para saber se alguém sabe alguma coisa, nada. Não, simplesmente reagem, como se dar a senha do banco fosse a coisa mais normal do mundo.

O caso todo permite mais uma dica para quem fica em dúvida sobre se dá seus dados ou não: como os ataques são tirados do ar após sua identificação, o usuário deve esperar pelo menos 24 horas antes de passar seus dados. É claro que nesse período o usuário deve procurar se informar o quanto puder sobre o pedido. Se depois de 24 horas ainda estiver disposto a se aventurar, deve esperar ainda mais 24 horas, e assim sucessivamente até que desenvolva o bom-senso necessário para perceber que empresas e instituições sérias não pedem dados sigilosos por e-mail ou via site. Pronto: problema resolvido.

Mudando de assunto, faz pouco tempo assumi novas responsabilidades profissionais, e nessa nova etapa não tenho mais a disponibilidade necessária para manter este blog atualizado diariamente. Lutei para chegar ao artigo de número 300 em base diária, e agora que esse objetivo foi atingido, o blog passa a ser atualizado duas vezes por semana: às segundas e às quintas. Assim consigo dar conta de minhas novas responsabilidades, e ao mesmo tempo em que mantenho esse contato com vocês, leitores e ouvintes. O formato continuará o mesmo: artigos em texto e áudio versando sobre segurança para os usuários domésticos.

Obrigado por manterem esse blog vivo durante esse um ano e meio, e até a próxima.

Quando o antivírus trava o computador

2010-12-03T08:36:00.000-02:00

O que fazer quando a atualização do antivírus trava o computador? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo no blog da AVG que ensina como resolver o problema de travamento do antivírus provocado pela atualização de ontem.

Para ler esse artigo, clique no botão abaixo.

Ontem alguns usuários do excelente antivírus AVG relataram que seus computadores não puderam ser reinicializados após uma atualização no antivírus. O problema foi reconhecido pela empresa, que de imediato retirou a atualização defeituosa do ar, e mostrou em um artigo em seu blog como recuperar o computador nesse caso específico.

O problema lembra outro ocorrido esse ano com alguns dos usuários do antivírus da Symantec, e de vez em quando essa questão incide sobre usuários que têm em seus computadores alguma configuração particular, sem ser algo que afete grande número de pessoas. A pergunta óbvia é: o que fazer numa situação dessas?

Bem, tudo depende do tempo que se tem para resolver o problema, da necessidade (imediata ou não) de acesso à Web, e da ligação emocional que temos com nossa solução de antivírus.

O fato é que não dá para acessar a Internet sem um antivírus ativo na máquina. O risco seria muito grande, e quanto mais tempo passássemos navegando sem proteção, maiores seriam as probabilidades de prejuízo grave. O mais sensato a fazer nesse caso é buscar no site do provedor do antivírus a sequência de passos a trilhar para resolver o problema. Essa busca deve ser feita a partir de outra máquina, claro. Geralmente isso envolve inicializar a máquina no modo de segurança, desinstalar a atualização que causou o problema (quando isso é possível) e voltar a usar o computador normalmente. A AVG, por exemplo, dá instruções exatamente nesse sentido.

Mas e quando esse voltar um passo atrás com o antivírus não é possível? Bem, aí a solução mais rápida pode ser a inicialização no modo de segurança, seguida da remoção completa do antivírus e da instalação — ainda que temporária — de outro pacote de proteção. Inúmeras soluções gratuitas de antivírus podem nos resgatar em um momento de necessidade: AVG, Avira, ESET, Microsoft, Panda, e tantos outros podem ser utilizados como paliativos enquanto nossa solução preferencial está no estaleiro. Depois de resolvido o problema pela empresa, basta desinstalar a solução paliativa e reinstalar nosso antivírus de escolha. O que não vale é desativar o antivírus e continuar navegando como se nada estivesse acontecendo. Isso equivale, como eu já disse, a fechar os olhos e atravessar sem proteção uma área onde está ocorrendo um tiroteio.

A enquete da semana está fechada Parabéns aos 31% dos respondentes que fazem varreduras diárias em seus discos. Os 15% que fazem varreduras semanais não estão muito atrás, mas correm o risco de arcar por uma semana com códigos maliciosos em suas máquinas, o que não seria nada bom, não é verdade? Os demais 54% se arriscam demais na opinião desse blogueiro.

Nossa nova enquete diz respeito ao cuidado com a segurança de nossas redes sociais preferenciais: quando foi a última vez que gerenciamos os parâmetros de privacidade?

Por fim, uma notícia interessante: esse é o nosso artigo de segurança de número 300. Muito obrigado a todos vocês pela audiência, que é o que me impulsiona a continuar esse trabalho.

Um excelente fim de semana a todos, e até a próxima.

O ataque via Twitter "trends"

2010-12-02T10:14:00.000-02:00

Um ataque simples e engenhoso mira os usuários do Twitter interessados nas principais tendências do momento. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para baixar ler um artigo de Sean-Paul Correll, da PandaLabs sobre o ataque nos “trends” do Twitter.

Para ler esse artigo, clique no botão abaixo.

O mecanismo de “trends” do Twitter (que em português quer dizer “tendências”) é usado para divulgar assuntos que estão em alta naquele site de mensagens. No Brasil o “trends” ficou conhecido esse ano com a famosa campanha #calabocagalvao, que ficou no topo das tendências do site no mundo inteiro por vários dias.

Os ciber-criminosos estão usando esse mecanismo de tendências do Twitter para efetuar um ataque simples e engenhoso, como informa Sean-Paul Correll, da Panda Labs. Funciona assim: os bandidos criam contas fantasmas no Twitter e se apoderam de contas de usuários que têm senhas fracas. Aí começam a “tuitar” um mesmo assunto, gerando uma tendência. Por exemplo, o dia mundial de combate à AIDS é um dos assuntos explorados mais recentemente. Nos tweets maliciosos, um link reduzido que leva a uma página que vai tentar descarregar um cavalo de troia no computador da vítima. Os links reduzidos, para quem não sabe, são produzidos por serviços que visam diminuir o número de caracteres em um link. Normalmente os links ocupam dezenas de caracteres (HTTP://5minseg.blogspot.com, por exemplo, tem 27 caracteres), e como o Twitter permite mensagens de apenas 140 caracteres, URLs grandes tendem a consumir espaço que seria necessário para a mensagem. Os serviços de redução de URL resolvem o problema, reduzindo para pouco mais de 20 caracteres qualquer endereço. O problema é que aí o usuário não sabe onde está clicando, e pode ser levado a sites maliciosos, como no caso desse ataque. E se o “tweet” diz respeito a um assunto que é tendência, mais gente tende a ser enganada.

E como fazer para evitar esse tipo de ataque? Bem, a primeira coisa é avaliarmos até que ponto deixamos nossa curiosidade nos levar, não é mesmo? As tendências do Twitter são interessantes, e em alguns casos até importantes. Com as recentes operações militares contra as drogas no Rio, por exemplo, muitos são os que tuitam a respeito de locais inseguros, onde operações ocorrem naquele momento. Claro que isso é bastante útil para quem está ligado no assunto, podendo evitar ir a esses locais. Mas esse tipo de tendência de uso imediato e de utilidade pública é exceção. A vasta maioria das tendências do Twitter trata de assuntos triviais ou de acontecimentos com celebridades. Será que não dá para segurar a curiosidade nesses casos? Será que não é melhor depender de portais confiáveis de notícias para nos interirarmos dos assuntos? Penso que sim.

Outra dica importante é a utilização de mecanismos que nos permitam analisar as URLs reduzidas antes de clicarmos. Existem plugins para navegadores que mostram a URL final quando passamos o mouse sobre o link reduzido, o que pode nos dar uma ideia melhor se devemos clicar ou não. No Firefox, por exemplo, eu uso o Xpnd it!, que faz o serviço de forma rápida e eficiente (e é gratuito, claro).

Até a próxima.

Segurança em compras online

2010-12-01T10:06:00.001-02:00

O Natal se aproxima, e as compras online são uma alternativa barata para os presentes. Mas será que é seguro? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Já faz alguns anos que as compras online fazem parte do cotidiano de muita gente, lá fora e aqui no Brasil, e no Natal esse procedimento é adotado por muitos de nós, ávidos por aproveitar ofertas e evitar filas. Se forem feitas com critério, as compras online são uma alternativa segura e barata, mas se a gente não presta atenção, corre o risco de tomar prejuízo.

A primeira e principal dica é efetuar as compras em sites de boa reputação e comprar de vendedores também de boa reputação. Em ambos os casos a busca pelo produto desejado não deve terminar conosco tendo encontrado o menor preço: a partir daí é importante pesquisar se as transações com aquele site e com aquele vendedor são bem avaliadas por quem comprou antes de nós. Os sites de leilão online, por exemplo, têm sistemas de reputação para vendedores, e basta uma rápida avaliada nos comentários de compradores pregressos para sabermos se as chances são grandes de entrarmos em fria ou não.

No caso do principal site de leilão online em funcionamento no Brasil, o MercadoLivre, existe a possibilidade de uma proteção extra: o serviço MercadoPago. Trata-se de um serviço de pagamentos em que o comprador cede o crédito ao MercadoPago e este serviço paga o comprador. Neste caso o comprador está protegido, podendo receber seu dinheiro de volta — ainda que com limitações — caso haja problema com a compra.

O site de leilões americano e-Bay oferece um serviço semelhante, e sem as limitações impostas pelo MercadoPago. Recentemente tive a oportunidade de testar esse serviço de proteção, e posso atestar que funciona: o porta-retrato digital que comprei de um vendedor supostamente de boa reputação e pelo qual paguei por US$11.99, não chegou. É bom lembrar que no Brasil um produto similar custa de R$150 para cima. Ao verificar, percebi que o vendedor havia sido descadastrado pelo próprio e-Bay e acionei o serviço de proteção. O resultado é que minha conta foi creditada no valor pago, incluindo o valor do frete. Fora o tempo de espera pelo produto, não perdi nada. Isso porque o e-Bay é um serviço sério, claro.

Minha experiência com o e-Bay mostra ainda uma coisa bem importante: quando a oferta parece boa demais para ser verdade, provavelmente é. Não é difícil economizarmos alto em compras online. A ausência de estoque, de lojas com manutenção cara e de vendedores tende a colocar os produtos numa faixa que varia entre 20% e 50% abaixo dos produtos de loja. Mas se nossa ganância nos faz salivar por descontos de irreais de70%, 80%, 90%, não poderemos reclamar quando formos enganados, não é mesmo?

Até a próxima.

Novo ataque de sequestro virtual de dados

2010-11-30T09:03:00.002-02:00

Um novo ataque de ransomware exige dinheiro de resgate para liberar arquivos dda vítima. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de Vitaly Kamluk, da Kaspersky, sobre o novo ataque de sequestro virtual de dados.

Para ler esse artigo, clique no botão abaixo.

Fotos na Internet

2010-11-29T09:32:00.000-02:00

Você já procurou por suas fotos na Internet? E se procurar, será que vai gostar do que encontrar? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Esse é um experimento simples que pode gerar resultados que vão do “sem surpresas” ao “pânico total”. Entre no Google, clique no link “Imagens”, e busque pelo seu nome completo entre aspas. Fiz o teste recentemente, e fiquei aliviado de não encontrar nada de comprometedor, apesar de saber que alguns amigos mantêm em seu arsenal fotos que não seria conveniente divulgar. Pedi a alguns alunos que repetissem a experiência e me relatassem o que fosse encontrado, e não demorou muito para que um deles me contasse o óbvio: fotos antigas de bebedeiras e comportamentos duvidosos existem e são acessíveis por qualquer um.

Uma consulta rápida a dois profissionais da área de RH me diz que esse procedimento está se tornando comum nos processos de recrutamento, e que apesar de não ser um mecanismo amplamente divulgado, o material encontrado pode ser utilizado como critério de desempate no caso de dois ou mais candidatos terem currículos, experiências e capacitações equivalentes para ocupar uma determinada vaga. Pense bem: dois candidatos recém-formados concorrem a uma vaga de trainee em uma empresa do ramo financeiro. Os dois têm históricos escolares semelhantes, a mesma capacitação em línguas estrangeiras, e fizeram estágios em empresas multinacionais da mesma categoria. Um deles não suscita fotos e fatos, digamos “inusitados” numa busca na Internet. Sobre o outro se encontram fotos das últimas edições do Oktoberfest, de vários eventos de carnaval, de festas e afins, sempre com o indivíduo com um copo na mão ou em situação periclitante depois de a festa acabar. Quem a instituição contrataria? Nada contra aproveitarmos a vida, e o convívio social é algo que diz coisas positivas sobre a personalidade de um indivíduo. Mas será que é isso que o banco quer? Será que em um momento de necessidade o candidato festeiro estará a 100% de seu desempenho, ou corre o risco de estar prejudicado por uma festança recém-terminada? Não é difícil perceber que nesse caso o candidato mais discreto terá melhores chances, dada a equivalência nos demais aspectos.

Não estou aqui pregando o moralismo, nem fazendo proselitismo contra a gandaia. A questão é outra: temos que zelar por nossa imagem on-line, pois nos tempos competitivos em que vivemos, cada vez fica mais fácil procurar e encontrar nossos rastros passados, levando-os em conta em nossas interações profissionais. E será que há o que fazer caso encontremos material inapropriado a nosso respeito na Internet? Em muitos casos, sim: basta pedir ao responsável pela publicação que retire o material do ar. Isso quando não somos nós mesmos os publicadores desse tipo de material, em cuja situação fica mais fácil ainda.

Mas o melhor mesmo é prevenir, claro. Não podemos esquecer que se nós mesmos não zelarmos por nossa privacidade, não podemos imaginar que os outros vão fazê-lo.

Até a próxima.

Uma perda de tempo no Facebook

2010-11-26T09:24:00.001-02:00

Os falsos avisos de vírus estão de volta, agora via Facebook. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Um phishing natalino

2010-11-25T09:05:00.001-02:00

Os golpes de phishing estão diminuindo, mas ainda aparecem de vez em quando. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Penso que as recentes análises acerca da redução da incidência dos golpes de phishing estejam corretas, pois tenho percebido uma diminuição nesse tipo de mensagem em minha caixa de entrada, bem como na caixa de entrada de alguns amigos com quem tenho conversado. Ainda assim, de vez em quando os ciber-criminosos de plantão tentam lançar-nos uma bola nas costas. Veja a imagem abaixo, de uma mensagem que parou na caixa de spam de minha conta no GMail:

A princípio parece bacana: uma promoção de natal de uma operadora, que só vai ser desconsiderada de início por quem não é usuário TIM, ainda assim deixando um enorme contingente de vítimas potenciais; uma chance interessante de ganhar, pois não são 2 ou 10 celulares, mas 2010; um formulário que supostamente não pede nada além de meu celular e meu e-mail, ou seja, não é invasivo.

Só que quando a gente presta um pouco mais de atenção, percebe que isso jamais poderia ser uma campanha verdadeira da TIM. A começar pelo brutal erro de grafia na palavra “Premiado”, logo no título: essa palavra não tem acento, e do jeito que está escrita dá até dor de dente quando a gente lê. Quem continua lendo com cuidado encontra outros erros, como o acento em “previamente”, vírgulas em locais estapafúrdios e a desnecessária repetição do termo “e-mail” no parágrafo de atenção. Por fim, na linha superior o nome da empresa não está grafado com todas as letras maiúsculas, lembrando mais o nome do finado cantor Tim Maia do que o de uma operadora de celular. Em suma: esses bandidos podem até parecer espertos, mas precisam dar uma boa polida no português. E quem diria que aquelas aulas de português no ginásio seriam ferramentas de segurança hoje em dia, hein?

Quem clica no link traz para dentro da máquina, junto com o formulário, um cavalo de troia que abre a máquina para acesso dos bandidos, como avisa o site Linha Defensiva. E, claro, deve ficar com a maior cara de tacho quando levar o tal formulário preenchido em alguma loja da TIM e descobrir que foi enganado.

Mas e se eu estive, ah, “doente” durante justamente essas aulas de português no ginásio? Como faço nesse caso para descobrir que isso é um golpe? Bem, procurar descobrir se a oferta é legítima antes de clicar é fundamental. Se você é cliente TIM, ou conhece alguém que é cliente TIM, basta discar para o *144 e perguntar. A ligação é gratuita. E se não tiver um telefone à mão, procure por alguma das frases da mensagem no Google, com as frases entre aspas. Por exemplo, a frase "você foi indicado para a promoção natal TIM premiado" já traz vários tuites e artigos em que usuários avisam do golpe. Um deles, inclusive, mostra que o golpe já foi aplicado no ano passado, com 2009 celulares oferecidos.

No fim das contas, quando a gente põe a prudência, o bom senso e a desconfiança antes da ganância e da curiosidade, se protege até que facilmente de golpes assim.

Até a próxima.

Sobre o cadeado do navegador

2010-11-23T09:36:00.001-02:00

Como funciona o cadeado que aparece de vez em quando no canto do navegador? E para que serve? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

O ouvinte Ivan mandou a seguinte pergunta:

“Tem hora que estou navegando e aparece um cadeado no canto debaixo da tela. O que significa esse cadeado? Se é uma coisa de segurança por que ele não fica lá o tempo inteiro?”

Essas são excelentes perguntas, Ivan. Todos os navegadores vêm “de fábrica” com um mecanismo de segurança de comunicação de dados. Trata-se de um mecanismo de criptografia que, quando utilizado, “embaralha” as informações sendo trafegadas, de forma que se algum ciber-criminoso está na escuta da comunicação, tudo o que ele vai conseguir captar é uma baboseira sem fim, que não faz sentido porque ele não tem como decifrar. Bom, até que tem, mas isso exigiria um caminhão de poder de processamento e algumas décadas de tempo livre, o que torna o processo inviável.

Através desse mecanismo chamado SSL, que em tradução livre quer dizer “camada de conexão segura”, o site primeiro estabelece uma conexão segura com seu navegador — conexão essa chamada de “túnel” — e só depois é que os dados começam a ser trafegados. Seu banco, por exemplo, só permite o tráfego de dados (tipo: sua conta, sua senha, os dados das transações que você efetua) depois do estabelecimento desse túnel seguro. Assim que o túnel é estabelecido, o cadeado aparece, e se você ler o endereço lá na barra de cima, vai ver que agora esse endereço começa com HTTPS, ao invés de HTTP. O “S” significa “seguro”.

Você pergunta por que o cadeado não está lá o tempo todo, e a razão é simples: nem todos os sites usam esse mecanismo de segurança. Ocorre que o processo de criptografia demanda mais processamento dos servidores, o que não é um problema para você, que acessa alguns poucos sites de cada vez. Mas para o site — o seu provedor de Webmail, por exemplo — isso pode significar um custo proibitivo, uma vez que esse site tem que atender a milhares de pessoas a cada segundo. No caso de bancos e lojas online, esse mecanismo já é bem disseminado, mas aí é porque se não fosse, ninguém usaria os serviços. À medida que o preço dos equipamentos cai, mais sites estão adotando essa solução, mas enquanto não adotam, não há nada que nós usuários possamos fazer para criptografar a comunicação. O que pede sempre muito cuidado quando navegamos, não é mesmo?

E isso me leva às duas dicas importantes de hoje: a primeira é que devemos sempre nos certificar de que se estamos em contato com alguma instituição financeira, a comunicação deve ser protegida. Uma forma fácil de detectar um site falso é se ele pede informações financeiras e o cadeado não está lá. A segunda dica é mais sutil: quando o cadeado está lá, a única garantia é de que a comunicação está protegida. Mas não há garantia de que estamos nos comunicando com nosso banco, ou com a loja online de quem queremos comprar alguma coisa. Há casos de ciber-criminosos que conseguem estabelecer a criptografia SSL, dando um falso senso de segurança para o usuário. Como fazer para evitar isso? Muita atenção na barra de endereços, não clicar em links suspeitos, ligar para o estabelecimento antes de clicar, e olhos muito (mas muito) abertos o tempo todo.

Até a próxima.

Seu computador está em uma Botnet?

2010-11-22T09:34:00.002-02:00

Fala-se muito de botnets, mas o que é isso? E como faço para saber se meu computador faz parte de uma? Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

A ouvinte Edna mandou a seguinte pergunta:

“Ando vendo muito a palavra botnet em matérias publicadas na net. O que é isso? Como eu faço para saber se meu computador é uma botnet?”

Excelente pergunta, Edna. Vamos a ela. Os ciber-criminosos às vezes querem desenvolver atividades que necessitam de muito poder de processamento. Enviar 100 milhões de mensagens de spam, por exemplo. É claro que comprar todos os computadores e contratar conexões com a Internet para enviar todo esse material custaria muito caro, não é verdade? Então eles surgiram com uma solução simples: invadir computadores alheios e infectá-los com pequenos programas cumpridores de tarefas. Aí, quando precisam de poder de processamento, mandam as ordens para esses computadores infectados, que as cumprem. A Botnet é o conjunto de computadores infectados, agindo como zumbis a serviço dos ciber-criminosos. Ou seja, seu computador não “é” uma Botnet, mas pode sim ser parte de uma Botnet se você não tomar cuidado.

Descobrir se seu computador está infectado e faz parte de uma Botnet é uma tarefa relativamente simples. Os sintomas são os seguintes:

Lentidão do computador além do que é costumeiro. Os bandidos estão usando poder de processamento de sua máquina para realizar suas tarefas, e é natural que ela vá ficar mais lenta.

Redução inexplicável o espaço em disco. Sem que você instale nada na máquina, o espaço em disco começa a diminuir lentamente, pois os dados carregados pelos ciber-criminosos vão ficando espalhados pelo disco.

Lentidão do acesso à Internet além do que é costumeiro. Se a máquina está sendo usada para remeter spam, por exemplo, a conexão com a Internet passa a ser usada e abusada pelos bandidos.

Desativação do antivírus, alterações no desktop e nas configurações no sistema operacional, e comportamento anômalo da máquina. Algumas Botnets precisam de certas configurações na máquina para poderem realizar suas tarefas, e os bandidos não hesitarão em fazer essas mudanças na máquina infectada.

Se a máquina apresenta algumas dessas características, é bom desconfiar, mas nada de pânico. Uma visita à assistência técnica já será suficiente para tirar suas dúvidas e restaurar a máquina, em caso de uma infecção.

E como fazemos para nos protegermos? Bem, uma Botnet se constrói com invasão e infecção via código malicioso. A proteção, portanto é a boa e velha combinação de hábitos seguros de navegação e uso de um bom antivírus como forma de prevenção.

Até a próxima.

Duas estreias: "Harry Potter" e os golpes

2010-11-19T08:30:00.001-02:00

Hoje estreia Harry Potter, e os golpistas não poderiam faltar ao evento.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Para ler esse artigo, clique no botão abaixo.

Meu filho mais novo vem me lembrando do fato faz algumas semanas: dia 19 de novembro estreia “Harry Potter e as Relíquias da Morte”. Pois é, hoje é o dia, e junto com o esperado filme vêm os inevitáveis golpes.

Os mais espertinhos não veem a hora de baixar cópias piratas do filme, alegando que os ingressos são muito caros, que as filas são gigantescas e outras desculpas semelhantes. Podem até ser bons argumentos, na visão de alguns de nós, mas o fato é que nenhum deles justifica o risco em que nos colocamos ao tentarmos tais subterfúgios.

O filme está sendo guardado a 7 chaves pelo estúdio, e é um dos casos em que cópias não autorizadas não vazaram na Internet antes da estreia. Isso significa que qualquer oferta do filme que esteja pairando por aí só pode ser um golpe. Quer um exemplo? Um site de nome “Super Seduzido” — cuja visita eu não recomendo — está oferecendo download do filme completo. Quem clica no link é levado a uma página de registro, onde deve cadastrar seu celular. Êpa, para quê? Por que eu deveria dar meu celular para baixar um filme “totalmente grátis”? Desnecessário dizer que o tal cadastro tende a gerar valores na conta do celular no fim do mês, ou deduzir créditos do mesmo.

A partir de hoje esses golpes devem se intensificar com aquelas cópias horrorosas filmadas dentro do cinema aparecendo por aí, com o risco de trazerem vírus e cavalos de troia para dentro dos computadores dos espertinhos de plantão. De novo: não estou julgando a moralidade do ato, mas sim o risco que vão correr os que se meterem nessa. Cada um, cada um.

Mudando de assunto, nossa enquete sobre backup, apesar da modesta participação, mostra que 44% dos leitores e ouvintes do 5 Minutos de Segurança fazem backup diária ou semanalmente, o que é um percentual bastante alentador. Os demais 56% ou não fazem, ou fazem raramente, ou fazem mensalmente. Deveriam pensar no quanto vão perder de informações importantes se o disco pifar nesse instante. Aposto que vai doer.

Nossa nova enquete tem a ver com o artigo de hoje: gostaria de saber se nossos leitores e ouvintes são adeptos, ainda que informais, da pirataria. Semana que vem comento os resultados.

Bom fim de semana e até a próxima.

Ninguém sabe nada sobre segurança

2010-11-18T07:58:00.002-02:00

Um vídeo feito pela F-Secure mostra examente o quanto as pessoas comuns sabem sobre segurança. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Assista abaixo ao video da F-Secure sobre a ignorância acerca da segurança:

Para ler esse artigo, clique no botão abaixo.

Relatório da McAfee mostra crescimento das pragas

2010-11-17T08:33:00.003-02:00

Um relatório da McAfee aponta para crescimento dos vírus, o que exige crescimento da atenção dos usuários. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o relatório trimestral de ameaças da McAfee (PDF).

Para ler esse artigo, clique no botão abaixo.

Um pouco mais sobre backup

2010-11-16T09:12:00.001-02:00

Algumas alternativas online para backup de dados. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ir ao site da prestadora brasileira de serviços Online Backup.

Clique aqui para ler um artigo da PC Magazine sobre os serviços online de backup.

Para ler esse artigo, clique no botão abaixo.

Aproveitando o gancho do ouvinte Cristiano, fiz uma pequena pesquisa acerca das alternativas online de backup, e hoje falo sobre algumas dessas alternativas.

Com o aumento da disponibilidade da banda larga e a consequente queda de preços que acompanha esse aumento, chegamos a um ponto em que o espaço de armazenamento e o tráfego de dados são tarefas de baixo custo, o que permite a prestação de serviços online em nichos que antes eram proibitivos. Várias são as empresas que fornecem espaço de armazenamento para backups online, e os preços são, de fato, leves para quem quer proteger seus dados.

O Cristiano mencionou o 4shared, que é um serviço americano que inclusive oferece espaço para backup gratuito, para até 10GB. É uma solução simples, com uma interface bem fácil de aprender a usar, mas nem de longe é a que oferece as melhores características. O processo de upload dos arquivos é manual, e não há alternativa nesse modo gratuito para sincronização de pastas.

Em um artigo recente a revista PC Magazine fez um comparativo entre os serviços online de backup, e o grande vencedor foi a solução SOS Online Backup, que além de permitir o backup de várias máquinas, guarda inclusive os arquivos de mídias externas, tais como pendrives e HDs externos, sincroniza os arquivos assim que algum deles é alterado e inclusive disponibiliza uma aplicação de backup para o iPhone. O custo é de US$9,95 por mês para até 5 PCs e 50GB de espaço.

Mas o usuário doméstico brasileiro não fica dependente apenas de soluções americanas, se não quiser. A McAfee oferece um serviço de backup ilimitado por R$136,00 anuais, e os computadores da Dell já vêm com um serviço de backup gratuito por um ano, em que o usuário pode armazenar até 30GB de dados. Uma alternativa brasileira de baixo custo para pequenas quantidades é a Online Backup, que cobra R$4,50 por mês por gigabyte armazenado.

Entendo que muitos usuários façam as contas e percebam que vão gastar mais de R$100,00 por ano por qualquer uma dessas alternativas que não sejam gratuitas, e por isso no artigo passado dei a dica de um investimento único: o HD externo. Só que uma coisa tem que ser levada em consideração quando falamos de segurança: custa dinheiro. Alguns de nós crescemos em meio à festa do caqui da pirataria dos anos 80 e 90, em que computadores fabricados legalmente eram piores e muito mais caros que os contrabandeados. Um aplicativo que na loja custa centenas de reais, no camelô custa dez reais. Essa mentalidade leva o usuário a pensar que em informática tudo tem que ser de graça, esquecendo-se que empresas investem pesado para trazer soluções ao mercado. As soluções gratuitas existem, claro, para divulgar serviços e para trazer clientes para as soluções pagas. Esperar que tudo em informática seja de graça, e se recusar a investir em sua própria segurança por causa disso é uma expectativa irreal e um tanto quanto infantil. Quanto mais cedo entendermos isso, mais cedo nos disporemos a fazer os investimentos necessários, e mais cedo aumentaremos nosso nível de segurança em TI.

Até a próxima.

Com que frequência você faz backup?

2010-11-12T08:53:00.001-02:00

Muito cuidado com sua resposta a essa pergunta. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ver a pesquisa sobre frequência de backup do site PC Advisor.

Clique aqui para fazer o download gratuito do SyncToy.

Para ler esse artigo, clique no botão abaixo.

Uma pesquisa em andamento no site da PC Advisor informa que 30% dos pesquisados fazem backup de seus dados diariamente, e 35% fazem backup semanalmente. Os demais pesquisados (e há mais de 1500 respondentes até agora) fazem backups mensais, quase nunca ou nunca, o que é lamentável.

Acho que esses dados não refletem a realidade aqui no Brasil, e gostaria da opinião de vocês, leitores e ouvintes do 5 Minutos de Segurança sobre o assunto. Sei que as respostas não serão estatisticamente significativas em relação à população brasileira, mas pelo menos eu gostaria de saber como esse assunto anda por aqui por essas verdes páginas. Gostaria de ser agradavelmente surpreendido com estatísticas favoráveis, mas acho que estamos todos aquém do que seria esperado. Vamos ver.

Para quem gostaria de melhorar esse quesito, a sugestão é um investimento em uma mídia externa de gravação. O backup em CDs e DVDs resolve o assunto, claro, mas tem desvantagens. Uma delas é que as mídias vendidas no Brasil são muitas vezes de péssima qualidade, e não dá para garantir que dados gravados agora de manhã estarão disponíveis no período da tarde, por incrível que pareça. Outra desvantagem é o gerenciamento das mídias, que se acumulam e tendem a ficar desorganizadas se o usuário não mantiver uma disciplina militar sobre o assunto.

O investimento sugerido, portanto, é em um HD externo. Fiz algumas pesquisas de preço para fins desse artigo e encontrei HDs externos em lojas on-line por R$169,00 e os mesmos em sites de leilão on-line entre R$95,00 e R$150,00. Ou seja, não é um preço assim tão alto para se pagar pela tranquilidade que se vai obter de um backup periódico e automático.

Mas como fazer com que esse backup fique periódico e automático? Minha sugestão é a adoção de um aplicativo gratuito chamado SyncToy, que faz a sincronização entre pastas. Funciona assim: o usuário cria no HD externo as pastas de seu computador que quer sincronizar, e cria pares de sincronização no SyncToy. Dessa forma, toda vez que alterar um arquivo em seu computador presente em uma das pastas a ser preservada, quando acoplar o HD externo em uma entrada USB, o SyncToy imediatamente faz o backup. A partir daí, o usuário só precisa criar a disciplina de acoplar o HD externo ao computador uma vez por dia, de preferência ao final do uso da máquina, quando for desligar a mesma.

É ou não é moleza?

Bem, aproveitando o ensejo, está lançada a partir de hoje nossa enquete da semana. Toda sexta-feira vou criar uma enquete nova, para ver como nossos leitores e ouvintes estão se comportando com relação a vários aspectos de segurança. Não deixem de votar, OK?

Bom feriado e até a próxima. O Blog volta na terça-feira, dia 16/11.

Boa notícia: Brasil é campeão em preocupação

2010-11-11T08:30:00.001-02:00

O Brasil é o país que mais está preocupado com relação à segurança. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler os resultados do Brasil da pesquisa da Unisys (PDF).

Para ler esse artigo, clique no botão abaixo.

A versão de novembro de um relatório semestral da Unisys aponta o Brasil como sendo o “campeão mundial” em preocupação com a segurança, e em minha humilde opinião essa é uma excelente notícia.

O índice é calculado com base nas preocupações do cidadão com vários aspectos de segurança, sendo que mesmo a preocupação com epidemias entra na composição do índice, que vai de zero a 300. O Brasil ocupa a primeira posição com a marca de 186, um crescimento substancial dos 166 pontos da pesquisa de abril.

A pesquisa foca quatro aspectos principais: segurança nacional, segurança financeira, segurança na Internet e segurança pessoal. No quesito segurança nacional, 79% da população se preocupam com a possibilidade de uma epidemia, e com o combate à epidemia de dengue já se arrastando desde a década de 90, há boas razões para esta preocupação, penso eu. No quesito segurança financeira, 85% dos brasileiros demonstram preocupação com o roubo de suas credenciais bancárias e cartão de crédito. No quesito segurança na Internet, 60% estão extremamente preocupados ou muito preocupados com vírus e invasões em seus computadores. No quesito segurança pessoal, 77% estão extremamente preocupados ou muito preocupados com a utilização não autorizada de informações pessoais.

Digo que são boas notícias porque esta preocupação indica que nós brasileiros estamos cada vez mais cientes dos problemas de segurança, e este é o primeiro passo para resolver as questões levantadas. Ninguém se preocupa com os problemas de que desconhece, não é verdade? E quando ficamos sabendo de um problema, a preocupação que surge — e é natural que surja — vai ser resolvida ou pelo menos reduzida quando tomarmos as ações necessárias. A preocupação, em outras palavras, deve nos impulsionar à ação, e no caso da segurança, essa ação deve começar pela instrução. Pronto, caí na minha ladainha de sempre: vamos nos educar quanto às questões de segurança, meu povo, pois assim reduziremos as preocupações. A própria pesquisa da Unisys fornece indícios de que isso funciona: na questão da preocupação com epidemias, quanto maior a escolaridade, menor a preocupação. E por quê? Porque com a instrução maior o indivíduo sabe que providências tomar para evitar sofrer as consequências de uma epidemia. Apenas aprendendo sobre os problemas e ameaças potenciais, e sobre como preveni-los é que vamos conseguir reduzir nosso nível de preocupação.

Ao contrário, se não fizermos nada, de um lado sofreremos as consequências dolorosas de nos deixarmos ao “Deus dará”, e do outro, ficaremos entregues às reclamações inúteis contra bandidos e contra as autoridades que não fazem nada, sem perceber que se nós fizermos alguma coisa, o problema se resolve mais rápida e eficientemente.

Até a próxima.

Microsoft corrige falhas, mas IE continua vulnerável

2010-11-10T08:04:00.002-02:00

As correções lançadas ontem pela Microsoft não corrigem a vulnerabilidade que deixa o Internet Explorer permeável a ataques. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o artigo de John Leyden sobre o novo toolkit de exploração da vulnerabilidade da falha no Internet Explorer e aqui para ler o boletim de segurança da Microsoft com a solução paliativa via “Fix it”.

Para ler esse artigo, clique no botão abaixo.

Guia de privacidade no Facebook para adolescentes

2010-11-09T08:48:00.002-02:00

Um interessante guia e uma lista simples e útil auxiliam pais e jovens a protegerem sua privacidade no Facebook. Ouça no artigo de hoje.

Audio via YouTube

Audio via Odeo/FileFreak

Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.

Clique aqui para ler o guia de privacidade para pais e adolescente, e aqui para acessar a lista de sugestões de privacidade do Facebook, composta pelos autores do guia.

Para ler esse artigo, clique no botão abaixo.

Ontem foi publicado um guia muito útil para pais e adolescentes: um guia prático de privacidade no Facebook. Caso você tenha saído recentemente de um coma que durou vários anos, o Facebook é a maior rede social do planeta, com mais de 500 milhões de membros registrados, deixando na poeira concorrentes tais como o Orkut e o MySpace. O Facebook é o local preferencial de relacionamento digital das novas gerações, e pelo que demonstra a recente afiliação da Rainha Elizabeth II, das gerações anteriores também.

O guia foi publicado por Anne Collier e Larry Magid, e é apoiado por duas instituições de proteção à privacidade, a ConnectSafely e a iKeepSafe. São dois os documentos que compõem o guia: um manual bastante completo e uma lista de configurações.

O manual começa com explanações simples e introdutórias sobre o Facebook, explicando o que é essa rede social, o que as pessoas fazem no Facebook, como os jovens geralmente usam o site, e por aí vai. Questões frequentes de pais, tais como se o Facebook é seguro para o uso de jovens e crianças, quais os riscos das redes sociais e como monitorar as atividades de crianças no Facebook são respondidas de forma clara e sem assumir que os pais são especialistas em Internet ou em redes sociais.

Um dos pontos altos do guia, a meu ver, é uma explanação bastante útil acerca dos rastros digitais que todos deixamos na Internet. Aquilo que publicamos na Internet tem o potencial de permanecer eternamente à disposição de outras pessoas, e as redes sociais são hoje nossas ferramentas preferenciais para criar esses registros permanentes — esses rastros digitais —, ainda que não pensemos muito nesse assunto. Demonstrações corriqueiras de instabilidade emocional, ou narrações de nossas frequentes doideiras em festas, por exemplo, podem ser apenas entretenimento para nossos amigos e conhecidos. Mas quando daqui uma década nossos potenciais empregadores descobrirem esse tipo de comportamento em nossa adolescência, poderão questionar se no fundo não permanecem na idade adulta. Em um mundo cada vez mais competitivo, esse tipo pensamento não pode deixar de ser considerado.

A segunda parte do guia é uma tabela de sugestões sobre como configurar os itens de privacidade do Facebook. A primeira sugestão, obviamente, é para que apenas a rede de amigos tenha acesso às informações do usuário. A partir daí, vêm mais sugestões sobre quais, dentre as informações possíveis, podem ser acessadas pela rede de amigos. O guia é voltado para adolescentes, visando proteger a imagem e a privacidade dos jovens, o que leva a alguns exageros, a meu ver. Mas isso talvez se deva ao fato de que a meu ver meu filho adolescente tem um pouco (não muito, mas um pouco) mais de esperteza e responsabilidade do que é assumido pelos criadores do guia.

No geral o guia é bem informativo, e vale ser lido e analisado por pais de jovens que tenham predileção pela rede social do Facebook. E é claro que sempre aprenderemos alguma coisa para utilizarmos em nosso próprio comportamento na rede, principalmente porque o gosto pelo Facebook não é privilégio de crianças e adolescentes.

Até a próxima.