Um movimento não governamental visa gerar mais segurança para nossas crianças na Internet. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ir à página do Movimento Criança Mais Segura Na Internet.
Clique aqui para ler o artigo da PC World sobre os 25 piores produtos de TI de todos os tempos, que inclui o IE6 na oitava posição e o chama de “produto menos seguro do planeta.”
Para ler esse artigo, clique no botão abaixo.
Ontem fiquei sabendo, através do consultor Clayton Soares, sobre um esforço daqueles que deixam a gente que se preocupa com segurança, bem contente. Trata-se do “Movimento Criança Mais Segura Na Internet”, que é voltado como o próprio nome diz a divulgar informações entre adultos e crianças sobre o uso ético, seguro e legal dos recursos da Internet. Um esforço mais que louvável e mais que necessário, não é verdade?
O movimento surgiu a partir de uma iniciativa do escritório Patrícia Peck Advogados e a realização é da ABA, a Associação Brasileira de Anunciantes, contando com várias outras instituições patrocinadoras e apoiadoras. É, como se pode perceber, uma iniciativa não governamental, e por isso requer o engajamento de todos os interessados no assunto.
No campo das atividades, o movimento está criando material para a orientação de crianças, adolescentes, educadores e pais, para que possam todos saber como colaborar para que os pequeninos se mantenham seguros. Outra atividade interessante é o cadastramento de escolas para receberem palestras educativas sobre o assunto. Há também um abaixo-assinado digital requisitando a introdução de uma disciplina de “cidadania e ética digital” na grade curricular do ensino fundamental, com vistas a tornar oficial e permanente o preparo de nossas crianças e adolescentes ao uso da Internet. A minha foi a assinatura de número 228 nesse abaixo-assinado, e penso que precisaremos multiplicar esse número por dez mil se quisermos ser ouvidos pelas autoridades governamentais responsáveis. Peço aqui a todos os que se preocupam com a segurança das crianças na Internet que visitem a página do movimento e assinem também, e que divulguem esse esforço entre amigos, colegas de trabalho e conhecidos em geral.
Mas voltando à minha afirmação do início, é ou não é para ficarmos contentes com um esforço desses?
São iniciativas assim que dão força para a gente que se preocupa com segurança. É um contraste muito bem-vindo para com os inúmeros esforços que visam disseminar o uso da Internet com vistas às vendas e sem preocupação com segurança, e mais ainda quando observamos que a maioria dos “esforços” organizados são realizados por bandidos em busca de justamente burlar nossa segurança.
Parabéns à Patrícia Peck Advogados, parabéns à Associação Brasileira de Anunciantes. Fica aqui o nosso muito obrigado.
Que navegador você usa? Se sua resposta é o Internet Explorer versão 6, saiba que isso não é um navegador, mas um baita problema. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo da Virus Bulletin sobre o uso do IE6.
Clique aqui para ler o artigo da PC World sobre os 25 piores produtos de TI de todos os tempos, que inclui o IE6 na oitava posição e o chama de “produto menos seguro do planeta.”
Para ler esse artigo, clique no botão abaixo.
Essa semana o site de divulgação de informações sobre códigos maliciosos Virus Bulletin divulgou o resultado de uma pesquisa sobre uso de navegadores. As questões foram elaboradas com o intuito específico de medir o uso do navegador Internet Explorer versão 6, o IE6, entre usuários domésticos e usuários corporativos.
O IE6, para quem não sabe, é um navegador que foi lançado em 2001, e na época foi um avanço e tanto sobre os navegadores anteriores. Trazia novas capacidades para lidar com o código Web da época, e foi considerado a melhor alternativa de navegação durante alguns anos. Entre 2002 e 2003 a Microsoft chegou a obter, com a “dobradinha” IE5 e IE6, 95% do mercado de navegadores. Isso significa que 19 de cada 20 usuários naqueles 2 anos usavam uma das duas versões do Internet Explorer. Infelizmente o IE6 não evoluiu junto com a tecnologia da Web, e nem manteve o passo com os ciber-criminosos. Novas versões do Internet Explorer foram lançadas, mas o uso do IE6 chegou a ser maior até do que o de seu sucessor, o IE7, lançado em Outubro de 2006. Hoje o navegador padrão da Microsoft, fortemente indicado por essa empresa é o Internet Explorer versão 8, lançado em Março de 2009.
Infelizmente a pesquisa da Virus Bulletin mostra que nada menos que 19% dos usuários ainda utilizam o IE6 no trabalho, em casa ou em ambos os locais. Isso é um problemão, pois essa versão do navegador é conhecida por seus problemas de segurança e de incompatibilidade com tecnologias mais novas da Web. A própria Microsoft vira e mexe já ameaça deixar de dar suporte ao IE6, e recomenda fortemente que usuários de versões anteriores migrem para o IE8. Para se ter uma ideia do porque, basta mencionar que já em 2006 o IE6 era considerado um dos 25 piores produtos de TI de todos os tempos e o produto mais inseguro do mundo pela revista PCWorld.
Ainda assim, quase 1 de cada 5 usuários pesquisados pela Virus Bulletin ainda usa essa famigerada versão. O que é pior é que a pesquisa foi feita num site de divulgação de informações sobre códigos maliciosos, isso é, um local visitado por gente que se preocupa com segurança. Isso significa que se a pesquisa fosse realizada com uma amostra mais generalizada de público, os resultados seriam piores ainda. E se conduzíssemos a mesma pesquisa no Brasil? Benzadeus... com nosso atraso inerente na adoção de novas tecnologias e nossa falta de educação e cultura em segurança, aposto que esse número pelo menos dobraria.
Mas, é claro, espero que esse não seja um problema dos leitores e ouvintes do 5 Minutos de Segurança. Se você ainda usa o IE6, estude as alternativas e migre imediatamente. E se conhece alguém que usa, passe a informação adiante de que é preciso migrar para um navegador mais moderno com urgência.
Cuidar da própria segurança não é fácil. E fica mais difícil ainda se usamos ferramentas sabidamente prejudicais como o Internet Explorer 6.
Já sabemos sobre a importância do backup dos dados que armazenamos em disco. Mas o que fazer quanto aos nossos dados armazenados on-line? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Para ler esse artigo, clique no botão abaixo.
Não é novidade para ninguém que estamos cada vez mais armazenando dados in-line, não é mesmo? Hoje muitos de nós temos contas, por exemplo, em serviços de armazenamento de fotos, tais como o Flickr e o Picasa; compartilhamos documentos via Google Documents; temos contas de e-mail no Hotmail ou no GMail; guardamos vídeos no YouTube; mantemos blogs no Blogger ou no WordPress; e por aí vai.
Será que pelo simples fato de esses dados e informações estarem sob a guarda de empresas, estão seguros? Bem, até certo ponto sim, mas essa segurança é relativa. Se algum ciber-criminoso consegue hackear uma conta no Flickr, por exemplo, ele poderá apagar todas as fotos lá armazenadas. E olha que tem bastante gente por aí usando o Flickr e outros serviços de armazenamento de fotos como repositório único de suas fotos. O raciocínio é simples: não ocupamos espaço em disco e as fotos ficam “seguras” por estarem on-line. Até que, como eu disse, alguém invada a conta e apague tudo.
Esse tipo de preocupação, isto é, com a integridade dos dados que armazenamos on-line, ainda não está na cabeça de muitos usuários, mas deveria. Não é porque nossos dados estão “na nuvem” que estão fora de perigo. É certo que alguns serviços oferecem o backup dos dados como parte do pacote, mas não são todos, e essa segurança extra custa dinheiro.
No fim das contas, a facilidade de armazenamento e disponibilização de informações on-line através dos inúmeros serviços disponíveis gera mais uma preocupação que deveria estar permanentemente no radar dos usuários: o backup desses dados. Como solução para esta questão, até existem serviços on-line de backup, que fazem cópias de dados armazenados em sites específicos e restauram esses dados em caso de dano. Ou então, o bom e velho processo, que no caso do usuário doméstico pode ser tão simples quanto manter diretórios individuais para os dados de cada site que o usuário usa para divulgar ou armazenar informações. Assim. O Flickr, o YouTube, o Google Documents e outros ganham diretórios no disco e as informações on-line têm cópias nesses diretórios. Aí basta incluir os diretórios no processo de backup que o usuário já utiliza para seus dados em disco. E espero, claro, que os leitores do 5 Minutos de Segurança já estejam fazendo regularmente o backup de seus dados.
Um golpe velho de e-mail faz novas vítimas no Twitter. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo no blog da Sophos sobre o golpe da BZPharma.
Clique aqui para ler um artigo no blog da Sophos sobre outro golpe da BZPharma.
Clique aqui para ir à página de dicas de segurança do Twitter (é uma boa ideia se cadastrar para receber os “tweets” desse usuário).
Para ler esse artigo, clique no botão abaixo.
Estou ficando velho: ainda me lembro de quando o chamariz de vírus funcionava em e-mails. Foi por pouco tempo que o famoso “Olha essas fotos minhas” funcionou em mensagens que chegavam à nossa caixa de entrada. Algumas variações prometiam fotos nuas, vinham assinadas com nomes femininos e sempre havia um link a ser clicado. Em pouco tempo as pessoas perceberam que não passava de um golpe tentando distribuir código malicioso para as máquinas dos mais curiosos. Ainda hoje esse tipo de mensagem circula, mas a maioria dos filtros de SPAM já consegue evitar que cheguem à nossa caixa de entrada.
Pois bem, uma variação desse velho truque acaba de dar as caras no Twitter, fazendo vítimas novas e com uma variação interessante. Segundo o blog de segurança do especialista Graham Cluley, da Sophos, o golpe usa as mensagens curtas do Twitter para enganar os internautas. Tudo começa com uma conta invadida, o que não é difícil em função da enorme quantidade de senhas fáceis de serem deduzidas pela Internet afora, tais como “123456” ou o nome do usuário. Dessa conta invadida vem o “tweet” dizendo “é você?” ou “sou em mesmo?” e um link. O link, nesse caso, não baixa código malicioso, mas sim a uma página de login que pede as credenciais do Twitter para que o usuário veja as supostas fotos. Quem passa as informações pedidas cai em uma página de venda de Viagra falsificado, e pode esperar virar vítima de SPAM daí para frente. O golpe continua com a conta da vítima, que agora passa a enviar o “tweet” de isca para todos os contatos cadastrados. O próprio microblog de segurança do Twitter já anunciou que esse tipo de mensagem não passa de um golpe, e sugere que quem clicou no link mude rapidamente sua senha, pois corre o risco de se transformar em vetor dessa infecção.
Por trás do golpe esta a empresa BZPharma, que no passado já esteve envolvida em “campanhas” semelhantes. Esse novo velho golpe funciona porque no Twitter as mensagens só vêm de pessoas que nós mesmos cadastramos em nossa rede, o que dá a confiança necessária para que muita gente clique no link e forneça as credenciais pedidas.
A primeira e mais importante lição desse caso é uma das mais antigas de todas: cuidado com a senha que você escolhe para entrar em qualquer serviço da Web. Eu sei que pareço um disco riscado nesse assunto, mas o fato é que os casos de senhas fáceis de serem roubadas por ciber-criminosos continuam em alta, e pelo visto ainda vou ter que falar muito nesse assunto. Senhas têm que ser difíceis de serem deduzidas, e devem ser diferentes para cada serviço usado. Outra dica interessante é para que os usuários do Twitter se cadastrem para receber tweets do usuário “safety” (link acima), de forma a se manterem informados quando surgirem novos golpes e vulnerabilidades.
Um inovador golpe em redes sociais mistura pornografia, phishing e scareware. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Na semana passada a Symantec publicou um excelente estudo sobre o estado dos ataques de phishing e as mensagens de SPAM na Internet, e alguns resultados servem de alerta para os usuários domésticos.
Primeiro uma notícia boa: em suas medições periódicas, a Symantec constatou que os ataques de phishing tem-se reduzido ao longo dos últimos meses, e atribui esse fenômeno à redução na disponibilidade de toolkits de criação de mensagens e disfarce de domínios. Isso implica que tem muita gente por aí aplicando golpes de phishing que não tem competência para criar seu próprio ambiente de ataque, dependendo de outros ciber-criminosos para gerar as ferramentas que utilizam.
Em contrapartida a essa boa notícia, está o fato de que o Brasil ocupa a segunda posição no envio mundial de SPAM, tendo mais que dobrado sua participação na divisão percentual e gerando 11% do SPAM mundial. Isso ocorre, é bom lembrar, porque ainda tem muita gente em nosso país com computadores vulneráveis a ataques externos, e os ciber-crimonosos (brasileiros e estrangeiros) não encontram dificuldades para transformar as máquinas dos desavisados em zumbis de envio automático de mensagens.
A fonte mais recente de ataques de phishing, como não poderia deixar de ser, é o já famoso terremoto do Haiti, que gerou e continua gerando inúmeros golpes. Um dos mais criativos é brasileiro, para variar. Os bandidos criaram um vídeo que rouba imagens da BBC Brasil, e enquanto a vítima assiste o material, um cavalo de troia é descarregado em sua máquina. O link para o vídeo é distribuído via e-mail, e as vítimas que clicam no link não são levadas ao site da BBC Brasil, claro, mas sim a um site falso.
No campo das dicas, a Symantec dá algumas muito boas. Claro que várias delas são campeãs de audiência aqui no 5 Minutos de Segurança, tais como não abrir anexos de mensagens de desconhecidos, não enviar avisos de vírus que chegam por e-mail, usar um bom programa anti-SPAM, e por aí vai. Outras menos comuns de se ouvir são: cancelar a assinatura de mailing lists que você já não usa mais. O cancelamento é preferível a jogar as mensagens na caixa de SPAM porque assim você se certifica de que mensagens tentando se passar pelo serviço cancelado serão certamente falsas, além de não gerar tráfego inútil na Internet. Evite publicar seu endereço de e-mail on-line e use endereços alternativos quando quiser se cadastrar em serviços específicos. É útil ter sempre à mão um e-mail só para cadastro em serviços via Internet, separado de seu e-mail principal. Outra alternativa é a utilização de serviços de e-mail temporário, onde os endereços que você registra só valem por um período de tempo, sendo descartados quando não forem mais úteis.
O SPAM e o phishing não vão embora tão cedo, e é bom nos mantermos sempre de olhos abertos para evitarmos suas consequências.
Um inovador golpe em redes sociais mistura pornografia, phishing e scareware. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo sobre esse golpe no The Register.
Para ler esse artigo, clique no botão abaixo.
Um novo golpe sendo aplicado no Facebook chamou a atenção pela inovação: mistura pornografia com phishing e resulta em scareware.
Funciona assim: os usuários recebem convites para entrar em grupos de divulgação de material pornográfico. Para tanto o convite pede aos pervertidos, digo, aos usuários, que enviem dados de acesso às contas, explicando que se trata de material sensível (como se isso fizesse algum sentido). Os usuários que caem nesse truque de phishing disfarçado acabam de ceder o controle de suas contas para os ciber-criminosos, o que por si só já é um perigo enorme para eles mesmos e para seus contatos no site. Afinal de contas, alguém se passando por você no Facebook pode contactar seus amigos e fazer todo tipo de bagunça com sua vida pessoal, não é mesmo?
Mas o gole não para por aí. Uma vez feito esse cadastro falso, a vítima é levada a uma página que descarrega scareware na máquina. Scareware, para quem não se lembra, é o vírus disfarçado de antivírus, que fica mostrando mensagens de que sua máquina está infectada e apenas o pagamento por uma falsa ferramenta de remoção vai limpar o computador em questão. Tudo balela, claro.
O golpe rende a expulsão dos golpistas do Facebook, mas quando a empresa percebe, já foram alguns milhares de usuários comprometidos.
As lições aqui são muitas. Em primeiro lugar vale lembrar que a pornografia na Internet é a principal porta de entrada para códigos maliciosos de todos os tipos, e esse golpe é só mais um dos vários exemplos. Depois vem a questão do phishing, que nesse caso pega o usuário literalmente com as calças na mão. O scareware na outra ponta do golpe pode ser evitado com um antivírus atualizado, mas seria melhor que o antivírus nem fosse ativado nesse caso, não é mesmo? Para tanto, teria sido necessário não clicar no link, que é mais que suspeito. E por fim, o golpe serve de mais um alerta para os perigos das redes sociais, e de se aceitar “convites” suspeitos.
Um excelente fim de semana a todos, um feliz ano novo brasileiro agora que o Carnaval passou, e até a próxima.
Quem, entre os que apreciam videogames não gostaria de um emprego que envolvesse ganhar dinheiro em troca de se jogar games o dia todo? Mas será que esse “emprego dos sonhos” existe mesmo? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Para ler esse artigo, clique no botão abaixo.
O ouvinte LCARLOS mandou o seguinte questionamento:
“Outro dia vi um link que levava a uma página que prometia emprego de testador de games para quem preenchesse um formulário. Você já ouviu falar disso? O salário oferecido era de até 120 dólares por hora. Será que é um golpe? Segue o link que estou falando.”
Bem, LCARLOS, a “oferta” sobre a qual você fala só está disponível para os EUA, o que significa que se for golpe, pelo menos desse nós brasileiros estamos protegidos. Agora que soa bom demais para ser verdade, ah, soa. Depois de sua mensagem fiz algumas pesquisas, e o que descobri foram links e páginas parecidas oferecendo “oportunidades” semelhantes, e nada me convenceu de que se tratem de propostas legítimas.
O fato, LCARLOS, é que algumas pessoas pensam que vão conseguir ganhar dinheiro de forma “fácil”, o que não é uma expectativa real. Tem muita gente por aí que adoraria ficar no console do videogame ou do computador o dia inteiro e receber por isso, mas isso vai ser bem difícil de acontecer. Alguns dos sites que encontrei que oferecem esse tipo de “oportunidade” não passam de engodos — golpes mesmo — em que a vítima começa preenchendo um formulário e termina pagando taxa em cima de taxa para receber informações que conseguiria de graça se tivesse um pouco de empenho. Os sites oferecem empregos, mas o que entregam são links de páginas de empresas que produzem jogos e templates de currículos, ensinando “truques” de como fazer o currículo soar mais atrativo para as referidas empresas. Esses sites contam com a preguiça de quem quer enriquecer jogando videogames para tomar o dinheiro dos mesmos, e as reclamações aos montes que ficam no lugar das promessas mostram que o golpe funciona bem.
No caso do Brasil, estive conversando com uma amiga que já trabalhou como designer de jogos em algumas empresas de renome com escritório aqui no país, e o que ouvi dela é que a posição de testador é a de menor salário na cadeia de produção dos jogos. Aqui no Brasil são os que menos recebem, e não me consta que programadores, por exemplo, recebam salários nem próximos de 120 dólares por hora.
Agora vamos entreter por um instante a hipótese de que seja possível receber um salário como testador de videogames. O que será que esse trabalho envolve? Será que o profissional é pago para se divertir? Ou será que é mais realista imaginar que vai ter que testar dezenas de vezes a mesma tela do jogo para ver se não vai ocorrer um erro se ele, por exemplo, subir a escada de um jeito diferente? Imagine o tamanho da “diversão” ter que passar o dia inteiro — ou dias a fio — tentando abrir uma porta que deve permanecer fechada naquela circunstância para saber se o programador não cometeu nenhum deslize.
Pois é, LCARLOS, com um salário adequado (leia-se “baixo”) esse tipo de emprego eu não duvido que exista. Um emprego maçante, custoso, que exige empenho e atenção e resulta em pouquíssima diversão como muitas ocupações assalariadas. Mas esperar receber mais de duzentos reais por hora para se divertir jogando videogames é um golpe sim. Um golpe do próprio indivíduo em si mesmo. Um atentado contra a própria inteligência, penso eu.
Já temos alguns avanços na legislação que versa sobre assuntos de segurança de TI no Brasil. Mas será que é suficiente? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo de Opice Blum e Jardim.
Clique aqui para ler uma entrevista com Renato Opice Blum.
Clique aqui para ir ao site Nightangel, da Polícia Federal.
Para ler esse artigo, clique no botão abaixo.
Minha amiga Bianca me enviou um excelente artigo de co-autoria de Renato Opice Blum, advogado especializado em direito eletrônico, e de Vitor E. M. Costa Jardim, aluno de direito do Mackenzie.
O artigo (que pode ser encontrado no link acima) fala sobre os avanços da legislação brasileira no que diz respeito aos crimes praticados com a ajuda de meios eletrônicos, e o quadro mostrado por Opice Blum em por Jardim é ao mesmo tempo alentador e desesperador.
O lado bom são os avanços da legislação no tocante aos crimes de pedofilia, cujas penas hoje já são mais altas, e existe projeto de lei em tramitação que transforma esse ato brutalmente ilícito em crime hediondo, sem direito a fiança. Outro ponto de destaque são os esforços constantes da Polícia Federal, sempre ágil em coibir esse crime e outros praticados com a ajuda de meios eletrônicos. Opice Blum e Jardim citam a iniciativa da PF em parceria com a Secretaria Especial dos Direitos Humanos e com a ONG Safernet, que juntas criaram o site Nightangel, em que os usuários podem fazer denúncias de crimes praticados via Internet, o que configura mais um recurso à disposição do cidadão para colaborar no combate a esse tipo de crime. Por fim, é interessante ressaltar o Termo de Ajuste de Conduta assinado entre o Ministério Público Federal e a Google, através do qual a gigante das buscas se compromete a manter dados armazenados por 180 dias e a enviar esses dados — que permitem a identificação de suspeitos — para o MPF mediante mandado judicial.
Infelizmente nem tudo vai bem no que tange o combate ao crime eletrônico, e prova disso é uma entrevista do próprio Renato Opice Blum ao site Consultor Jurídico, concedida em 2009. Na ocasião Opice Blum deu como exemplo o caso atípico em que não é crime, segundo a legislação vigente, se um indivíduo invade uma rede sem causar dano. Isso equivaleria a termos provas de que determinada pessoa invadiu nossa casa e saiu sem levar nada, e por isso não cometeu crime algum.
Outro ponto bastante negativo é a morosidade do Congresso, onde tramita desde 1999 o Projeto de Lei de Crimes Eletrônicos sem aprovação final mais de 10 anos desde sua introdução na pauta. Opice Blum cita que “com a atual redação, o Projeto de Lei torna crime o acesso não autorizado às redes de computadores, a divulgação e utilização indevida de dados pessoais, a difusão de código malicioso, a falsificação ou deleção de dados eletrônicos, por exemplo.” Em suma, a tipificação desses atos — todos extremamente comuns nos dias de hoje — ainda depende de aprovação do projeto de lei para serem considerados crimes. Até que isso ocorra não dá para enquadrar na lei, por exemplo, alguém que crie um vírus ou que divulgue dados pessoais obtidos ilicitamente.
Opice Blum e Jardim terminam seu artigo lembrando que enquanto a lei não acompanha as mudanças sociais nem a evolução dos meios tecnológicos, os avanços na legislação são passos importantes para a melhoria do quadro. Eu já penso diferente: enquanto os avanços listados no artigo são úteis, não estão nem próximos de serem suficientes para garantir a segurança do cidadão brasileiro que paga seus impostos em dia.
Hoje o blog entra em pausa para o Carnaval, retornando na Quinta-feira, dia 18.
A praticidade da função “hibernar”, que salva o contexto da seção de uso quando o usuário desliga o computador e a recarrega rapidamente quando esse computador é ligado novamente, esconde um perigo. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Para ler esse artigo, clique no botão abaixo.
Troquei algumas mensagens com um leitor (que pede para ficar anônimo, aliás) após receber o seguinte questionamento:
“Apesar de meu laptop estar configurado para fazer atualizações automáticas do Windows, fui checar e descobri que tem correções de mais de um mês que não foram baixadas. Será que estou com vírus que impede as atualizações?”
Fiz algumas perguntas sobre o sistema desse usuário e rapidamente chegamos à raiz do problema: a função “hibernar”.
Para quem não sabe, a função “hibernar” é uma facilidade presente nos sistemas operacionais da Microsoft que permite a rápida retomada do ambiente depois que o computador é desligado e religado. Funciona assim: ao desligar o computador, antes de interromper a energia este se põe a apagar todos os arquivos temporários e liberar o conteúdo da memória e do arquivo de paginação; quando é religado, precisa “começar do zero”, carregando todos os drivers, estabelecendo o contexto novamente, alocando espaço para paginação e por aí vai. O efeito colateral é que esse é um processo longo, que pode levar até alguns minutos se a máquina tiver um processador menos potente e pouca memória. A alternativa é usar a função “hibernar”, que ao invés de desligar o sistema do jeito convencional, simplesmente grava todo o contexto em disco antes de interromper a energia, carregando esse mesmo contexto quando a máquina for religada.
Infelizmente, o efeito do uso dessa função é que para o computador, esse nunca foi desligado. É como se tivesse simplesmente pulado do momento inicial da hibernação para o momento em que saiu dela. E o problema com relação às correções do sistema operacional e de outras aplicações da Microsoft é que essas são instaladas quando o computador é desligado, precisando da renovação do contexto todo para poderem atualizar vários arquivos de sistema e outros vários valores de registro. Isso é, se usamos a função “hibernar” sempre que desligamos o computador não renovamos o contexto, e esse tipo de comportamento ao longo de vários dias pode colocar nosso computador em atraso com as correções.
As famosas “patch Tuesday”, ou “Terça-feira da correção”, por exemplo, trazem mensalmente correções para os produtos da Microsoft, e recentemente tivemos outro evento desses. Uma das correções disponibilizadas foi no aplicativo PowerPoint, para criação de apresentações multimídia. A falha corrigida permite a execução de código remoto na máquina não atualizada, o que poderia dar controle da mesma ao cibercriminoso que se disponha a explorá-la. O especialista em segurança da nCircle, Andrew Storms, prevê que os erros corrigidos nesse “patch Tuesday” serão explorados a curtíssimo prazo pelos bandidos, o que torna a correção de nossos computadores uma prioridade. Ou seja, não só devemos habilitar a atualização automática de nossas máquinas, como também devemos efetivamente desligar o computador da próxima vez que não o estivermos utilizando.
A função “hibernar” é muito útil para momentos em que estamos com o tempo escasso, mas deve sempre ser utilizada com parcimônia.
Ontem foi o “Dia da Internet Segura” e o tema desse ano foi “pense antes de postar”. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ao site oficial do evento no Brasil.
Para ler esse artigo, clique no botão abaixo.
O ouvinte Marcio ontem me mandou a seguinte mensagem:
“Hoje é o ‘Dia da Internet Segura’ e você não falou nada a respeito. Não teria sido melhor divulgar esse esforço coletivo do que falar sobre falhas nos antivírus, já que essas estão aí todos os dias, mas o 9 de fevereiro só acontece uma vez por ano?”
Bem, Marcio, em minha defesa tenho a dizer que os sites brasileiros que frequento habitualmente só publicaram matérias sobre o evento depois que meu artigo diário já havia sido publicado. De fato a data é importante demais para passar em branco, mas a organização do evento pecou um pouco na divulgação, penso eu. Conversei com alguns de meus alunos e nenhum deles sabia dessa data, que aliás nem sempre é no 9 de fevereiro. O evento é uma iniciativa que começou na União Europeia e vem se espalhando pelo mundo nos últimos anos.
Esse ano o tema foi “pense antes de postar”, e o foco foi nas atitudes impensadas de muitos internautas que expressam suas opiniões sem pensar ou mesmo compartilham dados pessoais, e depois têm que arcar com prejuízos resultantes de seus atos.
Os exemplos desse tipo de comportamento são fartos, e já publicamos vários deles aqui no 5 Minutos de Segurança. E mesmo com a ampla divulgação de resultados desastrosos desse tipo de comportamento, eles ainda são bastante comuns on-line. O caso de Lindsay no Facebook, por exemplo, em que a moça com esse nome escreveu que odiava o chefe, tendo esquecido que esse fazia parte de sua rede de relacionamentos e fatalmente leria o comentário, já é considerado um clássico, mas ainda assim encontra similares todos os dias na Web.
Mas o chamado dos organizadores do evento não é só para quem se embaraça publicamente. Há casos em que o comportamento on-line mal intencionado e mal direcionado causa danos aos outros. Os casos de “cyberbullying”, ou intimidação via Internet estão crescendo no mundo todo, e é sempre triste ler notícias de que adolescentes — e mesmo crianças — são levadas ao suicídio por causa da intimidação de colegas da mesma faixa etária ou, o que é pior, por parte de adultos.
Aliás, em tempos de câmeras e acesso à internet no celular, não só é bom cuidarmos do que publicamos on-line, como também do que fazemos em público, uma vez que sempre vai haver um espertinho com acesso ao YouTube de espreita. De certa forma, nos dias de hoje não há muita diferença entre o que publicamos por escolha própria na Web e o que fazemos em público. Aliás, essa diferenciação vai sumindo cada vez mais a cada nova geração tecnológica a chegar às nossas mãos.
Taí, Marcio, com um dia de atraso, mas tá falado. Inclusive, obrigado pela dica. Já me inscrevi na newsletter do comitê organizador do evento, e se o 5 Minutos de Segurança sobreviver mais um ano, em 2011 prometo dar a notícia na data correta.
Existem casos em que nem mesmo o antivírus atualizado é suficiente para nos mantermos longe de problemas. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o relatório da SurfRight (pdf).
Para ler esse artigo, clique no botão abaixo.
Puxa, essa história de nos mantermos seguros on-line não é fácil mesmo, não é verdade? Dá um trabalho lascado, não dá para bobearmos um segundo e ainda assim corremos o risco de ser pegos de surpresa por algum código malicioso, algum ataque de phishing bem disfarçado ou algum hacker.
Evidência disso é um relatório recém publicado pela SurfRight, que monitorou pouco mais de 100.000 computadores em todo o mundo durante um período de 55 dias entre Outubro e Dezembro de 2009. O resultado mais interessante dessa monitoração é que apesar de 73% dos computadores monitorados estarem com a solução de antivírus atualizada, 32% dessas máquinas atualizadas foram infectadas por algum tipo de vírus nesse período.
A conclusão a que se chega é de que o antivírus só não é suficiente, nem quando atualizado, para proteger o computador. Ah, e nem preciso falar do puxão de orelha básico nos 27% dos usuários que insistem em manter seus antivírus desatualizados, não é mesmo?
É importante ressaltar, no entanto, que os usuários procuram a solução da SurfRight, um antivírus de uso único chamado Hitman, quando seus computadores estão lentos demais ou se comportando estranhamente a ponto de desconfiarem de alguma infecção. Aí, claro, as estatísticas serão maiores mesmo. Contudo, o fato de que as soluções de antivírus nem sempre são tão eficazes quanto gostaríamos, permanece válida.
Por que isso acontece? Bem, porque as empresas que fabricam soluções de antivírus desenvolvem vacinas e bases de dados de assinaturas de vírus de forma reativa. Precisam de uma cópia do vírus para poder criar a solução. E às vezes demora para que os laboratórios de desenvolvimento recebam cópias do vírus em questão. Existem casos em que vírus “regionais” — desenvolvidos por alunos de alguma instituição de ensino, por exemplo — ficam restritos a uma área geográfica, demorando meses para se espalharem de forma mais abrangente.
Mas o que devemos fazer para nos protegermos se o antivírus atualizado não garante que os códigos maliciosos ficarão afastados? Bem, a primeira coisa é o nosso campeão de audiência “critério de navegação e cuidado com que se baixa da Internet”, claro. Mas além dele, temos outra providência que ajuda muito: adotar um antivírus de segunda opinião. O Hitman, o MalwareBytes e o HouseCall são exemplos desses varredores do tipo “segunda opinião”, que usam tecnologia de computação na nuvem e análise comportamental dos códigos, sendo eficazes onde os antivírus convencionais falham. Mas então por que não trocamos simplesmente de solução? Bem, em primeiro lugar tem a questão do preço: essas soluções só são gratuitas se usarmos as versões instantâneas, de uso único. Caso contrário, têm custos envolvidos que nem sempre são baixos. Em segundo lugar, porque nossos antivírus são, sim, bem eficazes, e a técnica da segunda opinião é útil, claro, desde que se tenha a primeira opinião para garantir o mais básico.
“Puxa”, muitos vão dizer, “é mais uma coisa obrigatória para eu fazer quando estou online?” Bem, obrigatória não. Só deve se preocupar com esse assunto quem quiser se manter seguro. Os demais estão desobrigados, obviamente.
Dois complementos para o Firefox traziam cavalos de troia para a máquina do usuário e ficaram sem detecção por meses. Ouça no artigo de hoje.
Audio via YouTube >
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o boletim no blog da Mozilla.
Clique aqui para ler um descritivo do Win32.LdPinch.gen na enciclopédia de vírus da Microsoft.
Clique aqui para ler um descritivo do Win32.Bifrose na enciclopédia de vírus da Microsoft.
Para ler esse artigo, clique no botão abaixo.
A Fundação Mozilla, responsável pelo desenvolvimento do navegador Firefox divulgou recentemente em seu blog que dois complementos que podiam ser baixados diretamente da página da Fundação carregavam códigos maliciosos que ficaram sem detecção durante meses.
Os dois complementos em questão são a versão 4.0 do Sothink Video Downloader, que continha o cavalo de troia Win32.LdPinch.gen; e o Master Filer, que continha o cavalo de troia Win32.Bifrose. Ambos os complementos com códigos maliciosos ficaram disponíveis de setembro de 2009 até o fim de janeiro de 2010, e o boletim da Mozilla sugere que os usuários que baixaram e instalaram esses complementos façam uma limpeza detalhada e imediata em seus sistemas. No período em questão o Sothink Video Downloader foi baixado cerca de 4000 vezes e o Master Filer por volta de 600 vezes. A Mozilla alerta, ainda, que não basta desinstalar os complementos para limpar o sistema. É necessário realizar uma varredura com um antivírus atualizado e remover todas as instâncias de arquivos e referências no registro que essas pragas gravam no disco.
Os cavalos de troia em questão são descritos pela enciclopédia de códigos maliciosos da Microsoft como sendo da categoria “severos”, e não devem ser subestimados. O Win32.LdPinch.gen capta senhas digitadas pelo usuário e utiliza um mecanismo próprio para enviar e-mails com os dados roubados para endereços na Internet. Já o Win32.Bifrose abre uma “porta dos fundos” no computador infectado e avisa o atacante de que esse computador está aberto para acessos remotos. O atacante pode, então, entrar na máquina e dar os comandos que quiser, copiando arquivos e observando o comportamento do usuário sem que este saiba. Um fato preocupante informado pela própria Mozilla é que segundo avaliações da Fundação são poucos os pacotes de antivírus que explicitamente detectam essas pragas. Sugiro fortemente que cada usuário confira na base de dados de vírus no site de sua solução se seus antivírus estão preparados para lidar com essas pragas específicas, principalmente se baixaram os complementos infectados.
Há duas lições importantes nesse caso. A primeira é que mesmo instituições confiáveis e softwares confiáveis podem ser vetores de infecção por vírus, o que nos deve deixar mais alertas ainda do que já somos hoje. A segunda é que com o aumento da velocidade e dos recursos dos computadores, cada vez mais software estará disponível para que instalemos e utilizemos, o que é mais matéria-prima para os bandidos. Em ambos os casos, a cautela e o preparo são armas fundamentais para quem quer se proteger.
Vem aí mais uma batelada de correções da Microsoft, como sempre. Por que será que elas nunca acabam? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo da Threatpost sobre as próximas correções dos produtos da Microsoft, a serem publicadas em 09 de Fevereiro.
Clique aqui para ler um artigo de Matthew Broersma, da PCWorld mencionando a existência de 01 defeito de segurança a cada 1000 linhas de código aberto.
Clique aqui para ler um artigo de Jeff Williams mencionando a existência de 15 defeitos de segurança a cada 1000 linhas de código proprietário.
Para ler esse artigo, clique no botão abaixo.
Em mais um comunicado rotineiro a Microsoft anuncia outra série de correções aos seus produtos, a ser lançada em breve para usuários no mundo todo. São dezenas de vulnerabilidades nos sistemas operacionais e nas ferramentas do Office que serão corrigidos, e a gente fica se perguntando: quando é que vão corrigir todos esses erros, acabando com a necessidade desses remendos? A resposta, infelizmente é “nunca”. “Ah, mas um dia tem que acabar, pois quantidade de vulnerabilidades não é infinita, não é mesmo?”, alguém pode retrucar.
Bem, de fato a quantidade de vulnerabilidades nos vários pacotes de software disponíveis no mercado não é infinita, pois para tanto o código deveria ter tamanho infinito, o que é um contrassenso. Ainda assim essas vulnerabilidades nunca serão todas corrigidas em função do ciclo de obsolescência e desenvolvimento de software. Funciona assim: é fato que o processo de desenvolvimento de software não é perfeito, e defeitos de segurança acabam “sobrando” no produto final. Não é tarefa fácil quantificar esses erros, mas um estudo do Departamento de Segurança Interna dos EUA, órgão ligado ao Departamento de Defesa, mostra que no caso do software de código aberto a média é um defeito de segurança para cada 1000 linhas de código. Já no caso do software de código proprietário,isso é, que ninguém a não ser o fabricante conhece, como os produtos da Microsoft, esse número pula para uma média de 15 defeitos a cada 1000 linhas de código. Em uma aplicação típica de 200.000 linhas de código, portanto, existem entre 200 e 3000 defeitos de segurança. Como são desconhecidos, o processo de encontrar e corrigir esses defeitos demora anos, literalmente. E bem antes que todos sejam de fato corrigidos o ciclo de obsolescência entra em cena. Ou seja, o desenvolvimento de computadores mais rápidos e de novas técnicas de programação faz com que novas versões de software sejam sempre lançadas, tornando as anteriores obsoletas. É claro que nas versões novas há código novo, o que dá novo início ao ciclo de correção de defeitos. Em suma: é um processo cíclico que nunca acaba.
E nós, usuários domésticos, com isso? Bem, sabendo que defeitos sempre existem, e que as correções nunca vão acabar, ficamos alertados para mantermos nosso software sempre atualizado nos computadores que utilizamos. Até porque o tempo entre a descoberta de um defeito e a exploração desse defeito pelos ciber-criminosos se reduz a cada ano que passa. Hoje são comuns os casos de defeitos encontrados que são transformados em ataques pelos bandidos no mesmo dia, enquanto os fabricantes ainda não atingiram esse tipo de “eficiência”. Nesse contexto, é fundamental que mantenhamos nossos sistemas religiosamente atualizados, sob pena de nos expormos aos ataques, que cada vez mais rapidamente batem à nossa porta.
Acaba de ser publicada uma cartilha do CAIS/RNP com dicas úteis para quem utiliza redes sociais. Ouça no artigo de hoje.
Clique aqui para baixar a cartilha de segurança para redes sociais do CAIS/RNP.
Para ler esse artigo, clique no botão abaixo.
Hoje a dica é simples e direta. Tanto que não vai merecer nem um arquivo em áudio (fato impulsionado, claro, por minha absoluta falta de tempo).
O Centro de Atendimento a Incidentes de Segurança, CAIS/RNP acaba de publicar uma cartilha com dicas muito úteis de segurança para os usuários de redes sociais.
Nesse documento são apresentadas dicas de inscrição nas redes sociais, com ênfase para a criação de contas separadas (não usar a conta existente do Google para acessar o Orkut, por exemplo), não permitir que seu e-mail seja usado para que outras pessoas o encontrem, só permitir que seus amigos diretos veja o conteúdo que você publica, e por aí vai.
É um excelente recurso para quem zela por sua própria privacidade, e uma adição muito bem-vinda ao arsenal de ferramentas de segurança à disposição do usuário doméstico.
O link para a cartilha está logo acima, antes do botão para ler o artigo.
Tem muito bandido por aí que conta com o fato de que reutilizamos nossas senhas bancárias e outros sistemas. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Um relatório recente e bastante didático da Tusteer alerta para duas estatísticas perigosas: 73% dos usuários usam suas senhas bancárias em pelo menos um outro site menos sensível, e 47% dos usuários utilizam seu login e sua senha em pelo menos um outro site menos sensível.
Isso equivale a dizer que quase 3 a cada 4 usuários usam sua senha de acesso à conta do banco em um site menos comprometedor, como sites de rede social, por exemplo. Equivale também a dizer que quase 1 a cada 2 usuários usa não só sua senha, mas o nome de login no site do banco também em outro site menos comprometedor. “Por que isso é um problema?” alguns podem perguntar. Bem, por várias razões.
A primeira e principal delas é que sites de banco são muito bem protegidos, geralmente por várias camadas de segurança, o que torna o roubo de informações de acesso um processo muitíssimo difícil. Já os demais sites podem não ter (e em muitos casos, comprovadamente não têm) mecanismos semelhantes de proteção, o que torna o roubo de informações de acesso um processo mais acessível aos ciber-criminosos. Outro aspecto é que temos barreiras e prevenções mais rígidas quanto às nossas informações bancárias quando comparadas com informações de acesso a outros sites. Um ataque de phishing que nos peça dados de conta corrente, por exemplo tem poucas chances de ser bem-sucedido; já um ataque de phishing que peça para confirmarmos nossos dados de acesso ao Facebook ou do Twitter, por exemplo, vai nos encontrar naturalmente menos desconfiados.
O relatório da Trusteer inclusive cita sites mal intencionados em que o usuário deve criar uma conta com login, senha e código de confirmação de acesso, como nos bancos. As estatísticas acima mostram que vários de nós vamos criar a conta no tal site com os mesmos dados de acesso de nossa conta bancária. Aí o bandido só precisa acessar o site do banco e usar nossas credenciais, que demos a ele com alegria em nosso processo de cadastro no site falso.
Qual é a lição aqui? Bem, sei que já pareço um disco riscado (para aqueles que, como eu, são do tempo dos LPs), mas aquela velha dica se aplica como luva: não repita senhas. Eu bem sei que é um saco administrar senhas diferentes para todos os sites e sistemas que precisamos acessar, mas o fato é que é necessário esse tipo de procedimento se quisermos zelar por nossa segurança. As estatísticas apresentadas pela Trusteer são prova de que a reutilização de senhas é um hábito perigosíssimo, e os dados de violações a contas correntes comprovam esse perigo.
Hoje já não é nada difícil dizer onde você está e nem afirmar que um determinado acesso ao site vem exatamente do seu navegador, o que é um baita tapa na sua privacidade. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo de Dennis Fisher, do Threatpost, sobre ataques direcionados.
Clique aqui para ir para a página do Panopticlick, a feramenta da Electronic Frontier Foundation que identifica univocamete uma configuração de navegador.
Para ler esse artigo, clique no botão abaixo.
Duas notícias recentes, quando somadas, dão uma dimensão preocupante sobre a questão da privacidade na Web. Em uma delas, Dennis Fisher do site Threatpost mostra como os hackers estão utilizando técnicas de geolocalização e de definição de perfis para descobrir quem são as pessoas a serem atacadas e onde estão localizadas geograficamente.
Este é um enfoque novo no que diz respeito aos ataques, apesar de a técnica já ser utilizada há bastante tempo por empresas de publicidade para servir anúncios que sejam pertinentes para quem chega a uma página da Web qualquer. Com base no endereço IP do computador visitante e de alguns outros dados de identificação, essas empresas de publicidade sabem, por exemplo, que eu estou no Brasil, e me mandam banners e anúncios de empresas brasileiras. Afinal de contas, não seria nada eficiente se eu começasse a receber anúncios, digamos, de empresas tailandesas.
Bem, o fato é que a mesma técnica passou a ser utilizada por bandidos para atrair vítimas com mais eficiência para os golpes que aplicam. Em seu artigo, Fisher aponta para um ataque de phishing em que uma falsa notícia da agência Reuters anuncia uma explosão nos arredores de Bangalore, na Índia. Mas se o usuário visitando a página fosse da Rússia, por exemplo, a falsa notícia diria que a explosão foi nos arredores de Moscou, aumentando consideravelmente a chance de o usuário clicar no link (que no caso é malicioso e tenta descarregar um cavalo de troia no computador da vitima). Em suma, a técnica desenvolvida pelo pessoal de marketing e publicidade está sendo adotada pela bandidagem.
A outra notícia foi a disponibilização pela EFF, a Electronic Frontier Foundation, de uma ferramenta que demonstra com técnicas simples que é possível identificar o seu navegador com certeza de que é você que visita uma página qualquer. A ferramenta da EFF usa dados coletados legalmente de sua máquina quando você clica no link do aplicativo, e diz que sistema operacional está sendo usado, que versão do navegador, quais os plugins instalados no navegador, quais as fontes instaladas no computador, e por aí vai. Tudo isso compõe uma espécie de “assinatura” que é então comparada com uma base de dados de assinaturas coletadas pela EFF através da aplicação. No meu caso (eu que particularmente gosto de conhecer e usar novas fontes sempre que possível) tenho uma assinatura única nos mais de 450 mil perfis traçados pela EFF.
O que significa isso? Significa que alguém usando a mesma técnica da EFF — e nada impede que essa técnica seja usada legalmente por quem quer que seja — poderá afirmar com certeza que sou eu visitando uma página qualquer na Web. Os publicitários podem, por exemplo, customizar seus anúncios não só com base em meu país ou nas páginas que costumo visitar, mas sim para meus gostos pessoais. Em suma: lá se vai mais um pedaço da nossa privacidade.
E tem alguma coisa que possamos fazer para evitar esses dois problemas mencionados? No primeiro caso, a dica é a mesma de sempre: evitar clicar em links de procedência duvidosa e definir um critério responsável de navegação. Não resolve tudo, mas já ajuda bastante. No segundo caso, não há o que fazer, infelizmente. Os remédios paliativos de desabilitar o Javascript, os cookies e o Flash no navegador vão restringir demais nossa capacidade de navegação, e é com esses mecanismos que nossas informações são levantadas. Há sugestões no sentido de criar uma proteção para certas informações, mas não existe esforço nesse momento para implementar essas sugestões. O que dá para fazer é saber que a técnica existe e ficar alerta para que não seja usada contra nós.
Já existem muitas aplicações—gratuitas e pagas—que permitem realizar chamadas telefônicas no computador. Elas são seguras? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/Kiwi6 (arquivo disponível só durante alguns dias) Clique aqui para baixar o artigo do site da Kiwi6 em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo de Notrax no site Infosecurityguard.com.
Para ler esse artigo, clique no botão abaixo.
O ouvinte Wladimir pergunta:
“Uso o Skype para falar com amigos e parentes fora do Brasil, e gostaria de saber se existe algum risco de alguém grampear essas chamadas.”
A questão dos grampos em chamadas via Skype e outras soluções de voz via IP — uma tecnologia conhecida também como VoIP — é uma preocupação antiga na comunidade que desenvolve essas ferramentas. A razão é simples: teoricamente um grampo em VoIP é mais fácil de ser realizado que um grampo em linhas telefônicas fixas. Isso porque o indivíduo fazendo o grampo não precisa ter acesso físico à linha. Basta o hacker ter alguns dados de identificação da máquina sendo grampeada e a mesma ter alguma vulnerabilidade conhecida que o ataque pode ser realizado de qualquer ponto do planeta. Como as informações de identificação da máquina são simples de serem obtidas e como as vulnerabilidades não são raras nos computadores, teoricamente é mesmo mais fácil grampear uma chamada VoIP.
As empresas que fornecem soluções de VoIP, por sua vez, não estão paradas, e criam mecanismos que protegem as chamadas, basicamente utilizando mecanismos de criptografia para “embaralhar” o conteúdo dos pacotes de voz, impedindo um hacker que grampeie a chamada de entender o que está sendo falado.
O Skype, que você menciona, Wladimir, utiliza um mecanismo de criptografia proprietário, que é considerado de boa qualidade, sendo que não há incidentes de violação em aberto. É uma ferramenta considerada segura, com uma ressalva importante: o mecanismo de criptografia é proprietário, como mencionei, e nesses casos sempre existe a possibilidade de os próprios mantenedores do Skype terem maneiras ocultas que lhes permitam ouvir as chamadas. Essa é uma preocupação bastante comum da comunidade de VoIP, que geralmente prefere ferramentas que utilizem algoritmos conhecidos (e portanto com certa garantia de qualidade) ao invés de algoritmos proprietários.
Além do Skype, existem dezenas de soluções de VoIP, e recentemente um hacker que se intitula “Notrax” publicou um artigo em que demonstra que 13 dos 15 pacotes comerciais de VoIP mais conhecidos são vulneráveis a grampos. O método utilizado por Notrax é simples, mas exige a instalação de um cavalo de troia no aparelho sendo grampeado.
O que nos leva à pergunta: como nos protegermos desse tipo de grampo? Bem, a tecnologia de VoIP está se disseminando cada vez mais em dispositivos móveis (smartphones, PDAs com acesso wireless) e computadores pessoais (desktops e notebooks). Os ataques perpetrados até o momento dependem de código malicioso instalado no dispositivo. Isso pode ocorrer de duas formas. A primeira delas é nossa velha conhecida “clicar em link suspeito de um site invadido”. A defesa é a também conhecida cautela e alguma ferramenta que avise se o site é seguro ou não, como já falamos várias vezes por aqui. Outra forma, essa mais utilizada para invadir dispositivos móveis, é a instalação direta no aparelho, que em muitos casos exige acesso físico ao dispositivo. Aí o usuário deve pensar se em algum momento de seu dia deixa o telefone em local público sem sua supervisão. Deixar o aparelho na mesa do escritório e sair para ir ao banheiro ou para tomar um café, por exemplo, é algo extremamente comum, e esse tempinho é mais que suficiente para que alguém mal intencionado grampeie o aparelho. Ainda nessa veia, é plenamente possível enviar software malicioso via SMS, com já existem casos relatados.
É realista pensarmos em alguém grampeando nosso celular? E nosso Skype? É realista sermos grampeados aí? Essas são excelentes questões que devem ser pensadas por cada um de nós. Até porque não há motivo para entrarmos em pânico se não for o caso de sermos alvos potenciais desse tipo de ataque. Falo de vez em quando via Skype com uma amiga que mora nos EUA. Será que alguém tem interesse em escutar nossas conversas? Desconfio seriamente que não. Mas existe gente que usa ferramentas de VoIP para tratar de negócios, e aí a coisa muda de figura. Aí, todo cuidado é pouco, de fato.
Em todo caso, sempre valem as sugestões de proteger o sistema operacional, atualizar sempre o antivírus, cuidar de onde se navega, não ter software pirata no computador e por aí vai.
Mantendo seu sistema seguro, Wladimir, as chances de grampo no Skype — que, repito, é uma ferramenta segura — ficarão bem reduzidas.