O 5 Minutos de Segurança entra em recesso a partir de hoje.
Estaremos de volta no dia 10 de Janeiro de 2011.
Até lá fica o meu agradecimento a todos vocês por um ano de muito aprendizado e muita interação. Que 2011 seja um ano seguro para todos.
O vídeo abaixo mostra (para mim, pelo menos) do que somos capazes quando nos dispomos a surpreender positivamente e tocar os que nos cercam. Espero que vocês gostem:
Até 2011!
segunda-feira, 20 de dezembro de 2010
segunda-feira, 13 de dezembro de 2010
Endereços descartáveis de e-mail
Quando algum site nos pede o e-mail para confirmação, corremos o risco de passar a receber spam. Como evitar isso? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo do site Fried Beef’s Tech sobre os e-mails temporários.
Para ler esse artigo, clique no botão abaixo.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler um artigo do site Fried Beef’s Tech sobre os e-mails temporários.
Para ler esse artigo, clique no botão abaixo.
Com variações, mas mantendo a ideia básica, isso já aconteceu com todos nós: estamos em busca de alguma informação na Web, e o site onde essa informação se encontra nos pede para nos cadastrarmos. Em meio aos dados requeridos, nosso endereço de e-mail. Fornecendo o e-mail, imediatamente recebemos uma mensagem de confirmação, e ao clicarmos no link de confirmação, finalmente temos acesso à informação desejada.
Se o papo terminasse aí, não haveria problema, não é verdade? Só que em muitos casos esse é apenas o começo da história. O site a quem demos nosso endereço de e-mail em alguns casos não age de forma ética, repassando esse endereço a outros ou mesmo usando o endereço sem nossa permissão para nos mandar mensagens não solicitadas. O spam começa a invadir nossos e-mails, obrigando-nos a perder um tempão para separar o joio do trigo em nossa caixa de entrada.
Como evitar isso? Como acessar informações que nos exijam cadastro sem expor nosso endereço de e-mail a uma enxurrada de spam?
Bem, a primeira sugestão é não pararmos a busca quando encontramos o site que nos exige dados de e-mail. Investir mais cinco minutos de busca pode render a mesma informação de forma menos invasiva, não é verdade?
Contudo, isso nem sempre vai ocorrer, e em algumas situações teremos mesmo que “morrer” com um endereço de e-mail. Para esses casos existem vários serviços gratuitos de e-mail temporário que vêm em nosso resgate. Em tais serviços podemos criar contas temporárias de e-mail, com validade desde alguns minutos até várias semanas. As mensagens recebidas são encaminhadas até nós, e quando a validade do e-mail temporário expira, deixamos de receber qualquer tipo de mensagem daquela fonte.
Tais serviços devem vir, obviamente, com o compromisso dos provedores de que nosso verdadeiro endereço de e-mail não será divulgado, o que é um procedimento padrão, caso contrário não teriam credibilidade nenhuma.
Alguns desses serviços são: o Mailinator, que cria contas temporárias de 48 horas; o MintEmail, que automaticamente atualiza sua caixa de entrada temporária, não exigindo que você recarregue a página enquanto espera pela mensagem que quer receber; o DodgeIt que também oferece serviço de avisos via RSS; o Guerrilla Mail, que permite que você inclusive responda e-mails através desse serviço temporário; o Mail Temporaire, que é francês e permite que o usuário escolha o tempo de validade do e-mail temporário; e o One Way Mail, que inclusive dispensa o registro o usuário. E olha que esses são apenas alguns, sendo que uma busca por “e-mail temporário” no Google certamente vai gerar dezenas de outros resultados interessantes.
Vale a pena protegermos nosso endereço de e-mail: é parte do pouco que ainda nos resta de privacidade na Internet.
Até a próxima.
Se o papo terminasse aí, não haveria problema, não é verdade? Só que em muitos casos esse é apenas o começo da história. O site a quem demos nosso endereço de e-mail em alguns casos não age de forma ética, repassando esse endereço a outros ou mesmo usando o endereço sem nossa permissão para nos mandar mensagens não solicitadas. O spam começa a invadir nossos e-mails, obrigando-nos a perder um tempão para separar o joio do trigo em nossa caixa de entrada.
Como evitar isso? Como acessar informações que nos exijam cadastro sem expor nosso endereço de e-mail a uma enxurrada de spam?
Bem, a primeira sugestão é não pararmos a busca quando encontramos o site que nos exige dados de e-mail. Investir mais cinco minutos de busca pode render a mesma informação de forma menos invasiva, não é verdade?
Contudo, isso nem sempre vai ocorrer, e em algumas situações teremos mesmo que “morrer” com um endereço de e-mail. Para esses casos existem vários serviços gratuitos de e-mail temporário que vêm em nosso resgate. Em tais serviços podemos criar contas temporárias de e-mail, com validade desde alguns minutos até várias semanas. As mensagens recebidas são encaminhadas até nós, e quando a validade do e-mail temporário expira, deixamos de receber qualquer tipo de mensagem daquela fonte.
Tais serviços devem vir, obviamente, com o compromisso dos provedores de que nosso verdadeiro endereço de e-mail não será divulgado, o que é um procedimento padrão, caso contrário não teriam credibilidade nenhuma.
Alguns desses serviços são: o Mailinator, que cria contas temporárias de 48 horas; o MintEmail, que automaticamente atualiza sua caixa de entrada temporária, não exigindo que você recarregue a página enquanto espera pela mensagem que quer receber; o DodgeIt que também oferece serviço de avisos via RSS; o Guerrilla Mail, que permite que você inclusive responda e-mails através desse serviço temporário; o Mail Temporaire, que é francês e permite que o usuário escolha o tempo de validade do e-mail temporário; e o One Way Mail, que inclusive dispensa o registro o usuário. E olha que esses são apenas alguns, sendo que uma busca por “e-mail temporário” no Google certamente vai gerar dezenas de outros resultados interessantes.
Vale a pena protegermos nosso endereço de e-mail: é parte do pouco que ainda nos resta de privacidade na Internet.
Até a próxima.
quinta-feira, 9 de dezembro de 2010
Algumas previsões para 2011
O cenário de segurança está mudando, e permite que os especialistas façam algumas previsões interessantes sobre segurança no ano que está para começar. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler as previsões da Cenzic para 2011.
Clique aqui para ler as previsões da IAPC para 2011.
Para ler esse artigo, clique no botão abaixo.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler as previsões da Cenzic para 2011.
Clique aqui para ler as previsões da IAPC para 2011.
Para ler esse artigo, clique no botão abaixo.
A Cenzic e a IATC publicaram recentemente suas previsões para o cenário de segurança em 2011. Algumas das previsões são de interesse dos usuários domésticos e do enorme contingente de usuários de informática no trabalho. Vamos avaliar cinco dessas previsões.
1. As aplicações móveis — aquelas que instalamos em nossos smartphones e em nossos tablets — vão se tornar alvo preferencial dos criminosos. À medida que essas aplicações deixam o setor de entretenimento e passam a ter propósitos sérios, também se ocupam de transações financeiras, e carregam dados sigilosos, elas farão com que os olhares dos bandidos cresçam sobre si. Essa atenção dos bandidos é sempre uma má notícia, e exigirá que empresas desenvolvedoras prestem uma atenção danada na segurança de suas aplicações. Também obrigará o usuário a ter muito cuidado e muito critério na hora de escolher as aplicações que baixa em seu dispositivo, atenção essa que deve estar presente na hora da escolha e também no dia-a-dia, quando surgirem novas atualizações. Nada de diferente do que já enfrentamos em nossos computadores, certo? Sim, com o agravante de que serão em muito maior número e muito mais pulverizadas em nossos dispositivos móveis, que também tendem a crescer em quantidade.
2. Agora que os ataques às aplicações Web estão em um patamar alarmante, o que se espera é que esses ataques sejam automatizados e popularizados através de “kits” gratuitos que auxiliam a explorar as vulnerabilidades existentes. Kits semelhantes já existem para ajudar os bandidos menos capacitados a construir seus códigos maliciosos e também para explorar vulnerabilidades de rede. Agora vão popularizar os ataques onde esses rendem mais: as aplicações na Web. Eis aí outro motivo para redobrarmos nossa atenção quanto às atualizações dos programas em nossos computadores. Quem ainda não tem esse hábito, é melhor desenvolver, e logo.
3. Os ciber-crimes atingirão mais pesadamente as pequenas empresas, uma vez que estas fazem mais e mais negócios via Internet a cada ano que passa. Os bots de roubo de informações financeiras e os ataques direcionados, perpetrados por hackers, voltarão suas baterias para as pequenas empresas e para os empreendedores caseiros. Nesse sentido a segurança da informação passará a ser uma questão de sobrevivência para esses pequenos negócios.
4. O roubo de informações nos caixas eletrônicos deve aumentar, mantendo a tendência desse ano. Aqui vale um pedido aos nossos bancos: devemos solicitar (em nossa próxima visita à agência) que os funcionários nos ensinem como identificar se um caixa eletrônico foi adulterado ou não. Penso que os bancos não estão fazendo sua parte em ensinar os clientes a identificar caixas eletrônicos adulterados, nem como devem se comportar diante de caixas eletrônicos em locais distantes ou em locais vazios.
5. Por fim, o Wikileaks, aquele site que está causando o maior bafafá por divulgar segredos de estado de vários países, já prometeu que vai divulgar segredos corporativos, isso é, de várias empresas e indústrias. Isso significa que nas empresas em que trabalhamos haverá marcação cerrada sobre todos nós e sobre nossas atitudes quando usamos os recursos de informática da empresa. Sabe aquele arquivo que você mandou imprimir e deixou “de bobeira” na impressora durante uma meia horinha à toa? Então, de agora para frente tende a lhe render no mínimo um belo pito do seu chefe.
Até a próxima.
1. As aplicações móveis — aquelas que instalamos em nossos smartphones e em nossos tablets — vão se tornar alvo preferencial dos criminosos. À medida que essas aplicações deixam o setor de entretenimento e passam a ter propósitos sérios, também se ocupam de transações financeiras, e carregam dados sigilosos, elas farão com que os olhares dos bandidos cresçam sobre si. Essa atenção dos bandidos é sempre uma má notícia, e exigirá que empresas desenvolvedoras prestem uma atenção danada na segurança de suas aplicações. Também obrigará o usuário a ter muito cuidado e muito critério na hora de escolher as aplicações que baixa em seu dispositivo, atenção essa que deve estar presente na hora da escolha e também no dia-a-dia, quando surgirem novas atualizações. Nada de diferente do que já enfrentamos em nossos computadores, certo? Sim, com o agravante de que serão em muito maior número e muito mais pulverizadas em nossos dispositivos móveis, que também tendem a crescer em quantidade.
2. Agora que os ataques às aplicações Web estão em um patamar alarmante, o que se espera é que esses ataques sejam automatizados e popularizados através de “kits” gratuitos que auxiliam a explorar as vulnerabilidades existentes. Kits semelhantes já existem para ajudar os bandidos menos capacitados a construir seus códigos maliciosos e também para explorar vulnerabilidades de rede. Agora vão popularizar os ataques onde esses rendem mais: as aplicações na Web. Eis aí outro motivo para redobrarmos nossa atenção quanto às atualizações dos programas em nossos computadores. Quem ainda não tem esse hábito, é melhor desenvolver, e logo.
3. Os ciber-crimes atingirão mais pesadamente as pequenas empresas, uma vez que estas fazem mais e mais negócios via Internet a cada ano que passa. Os bots de roubo de informações financeiras e os ataques direcionados, perpetrados por hackers, voltarão suas baterias para as pequenas empresas e para os empreendedores caseiros. Nesse sentido a segurança da informação passará a ser uma questão de sobrevivência para esses pequenos negócios.
4. O roubo de informações nos caixas eletrônicos deve aumentar, mantendo a tendência desse ano. Aqui vale um pedido aos nossos bancos: devemos solicitar (em nossa próxima visita à agência) que os funcionários nos ensinem como identificar se um caixa eletrônico foi adulterado ou não. Penso que os bancos não estão fazendo sua parte em ensinar os clientes a identificar caixas eletrônicos adulterados, nem como devem se comportar diante de caixas eletrônicos em locais distantes ou em locais vazios.
5. Por fim, o Wikileaks, aquele site que está causando o maior bafafá por divulgar segredos de estado de vários países, já prometeu que vai divulgar segredos corporativos, isso é, de várias empresas e indústrias. Isso significa que nas empresas em que trabalhamos haverá marcação cerrada sobre todos nós e sobre nossas atitudes quando usamos os recursos de informática da empresa. Sabe aquele arquivo que você mandou imprimir e deixou “de bobeira” na impressora durante uma meia horinha à toa? Então, de agora para frente tende a lhe render no mínimo um belo pito do seu chefe.
Até a próxima.
segunda-feira, 6 de dezembro de 2010
A "Hora de Ouro" do phishing
Um estudo publicado pela Trusteer mostra que a maioria das vítimas de phishing cai nas armadilhas logo na primeira hora do ataque. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo de Amit Klein, no blog da Trusteer sobre a “Hora de Ouro” dos ataques de phishing.
Para ler esse artigo, clique no botão abaixo.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo de Amit Klein, no blog da Trusteer sobre a “Hora de Ouro” dos ataques de phishing.
Para ler esse artigo, clique no botão abaixo.
O pesquisador Amit Klein, da Trusteer, publicou na semana passada um artigo no blog da empresa com o resultado de uma pesquisa interessante. Ao avaliar quanto tempo depois do lançamento de um ataque de phishing as vítimas reagem, isto é, caem na armadilha, Klein constatou que 50% dessas vítimas caem na arapuca na primeira hora do ataque. Essa hora inicial está sendo chamada de “Hora de Ouro”, e esse tipo de comportamento por parte das vítimas é o que mais dificulta na resolução do problema do phishing.
O estudo mostra ainda que em 5 horas, 80% das vítimas caem na armadilha, e em 10 horas esse número chega a 90% do total de vítimas. Isso significa que tirar um site de phishing do ar depois de 10 horas (ou mesmo depois de 5) é praticamente irrelevante. O problema se agrava porque é muito raro que se consiga identificar o ataque e tirar o site do ar durante a tal “Hora de Ouro”. Tipicamente mesmo as poucas horas que se passam entre o lançamento do ataque, sua identificação e as providências para tirá-lo do ar são suficientes para que a maior parte do estrago seja feita.
O que mais incomoda nessa história toda é o fato de que os usuários reagem tão rapidamente aos ataques, entregando-se em questão de minutos aos bandidos. Falta um pouco de bom-senso, e um outro tanto de cautela. Esses 50% de vítimas da primeira hora, aposto, não fazem checagem alguma antes de sair clicando em links e dando seus dados. Não se perguntam se o pedido é legitimo, não ligam para a instituição supostamente pedindo os dados, não checam com amigos ou conhecidos para saber se alguém sabe alguma coisa, nada. Não, simplesmente reagem, como se dar a senha do banco fosse a coisa mais normal do mundo.
O caso todo permite mais uma dica para quem fica em dúvida sobre se dá seus dados ou não: como os ataques são tirados do ar após sua identificação, o usuário deve esperar pelo menos 24 horas antes de passar seus dados. É claro que nesse período o usuário deve procurar se informar o quanto puder sobre o pedido. Se depois de 24 horas ainda estiver disposto a se aventurar, deve esperar ainda mais 24 horas, e assim sucessivamente até que desenvolva o bom-senso necessário para perceber que empresas e instituições sérias não pedem dados sigilosos por e-mail ou via site. Pronto: problema resolvido.
Mudando de assunto, faz pouco tempo assumi novas responsabilidades profissionais, e nessa nova etapa não tenho mais a disponibilidade necessária para manter este blog atualizado diariamente. Lutei para chegar ao artigo de número 300 em base diária, e agora que esse objetivo foi atingido, o blog passa a ser atualizado duas vezes por semana: às segundas e às quintas. Assim consigo dar conta de minhas novas responsabilidades, e ao mesmo tempo em que mantenho esse contato com vocês, leitores e ouvintes. O formato continuará o mesmo: artigos em texto e áudio versando sobre segurança para os usuários domésticos.
Obrigado por manterem esse blog vivo durante esse um ano e meio, e até a próxima.
O estudo mostra ainda que em 5 horas, 80% das vítimas caem na armadilha, e em 10 horas esse número chega a 90% do total de vítimas. Isso significa que tirar um site de phishing do ar depois de 10 horas (ou mesmo depois de 5) é praticamente irrelevante. O problema se agrava porque é muito raro que se consiga identificar o ataque e tirar o site do ar durante a tal “Hora de Ouro”. Tipicamente mesmo as poucas horas que se passam entre o lançamento do ataque, sua identificação e as providências para tirá-lo do ar são suficientes para que a maior parte do estrago seja feita.
O que mais incomoda nessa história toda é o fato de que os usuários reagem tão rapidamente aos ataques, entregando-se em questão de minutos aos bandidos. Falta um pouco de bom-senso, e um outro tanto de cautela. Esses 50% de vítimas da primeira hora, aposto, não fazem checagem alguma antes de sair clicando em links e dando seus dados. Não se perguntam se o pedido é legitimo, não ligam para a instituição supostamente pedindo os dados, não checam com amigos ou conhecidos para saber se alguém sabe alguma coisa, nada. Não, simplesmente reagem, como se dar a senha do banco fosse a coisa mais normal do mundo.
O caso todo permite mais uma dica para quem fica em dúvida sobre se dá seus dados ou não: como os ataques são tirados do ar após sua identificação, o usuário deve esperar pelo menos 24 horas antes de passar seus dados. É claro que nesse período o usuário deve procurar se informar o quanto puder sobre o pedido. Se depois de 24 horas ainda estiver disposto a se aventurar, deve esperar ainda mais 24 horas, e assim sucessivamente até que desenvolva o bom-senso necessário para perceber que empresas e instituições sérias não pedem dados sigilosos por e-mail ou via site. Pronto: problema resolvido.
Mudando de assunto, faz pouco tempo assumi novas responsabilidades profissionais, e nessa nova etapa não tenho mais a disponibilidade necessária para manter este blog atualizado diariamente. Lutei para chegar ao artigo de número 300 em base diária, e agora que esse objetivo foi atingido, o blog passa a ser atualizado duas vezes por semana: às segundas e às quintas. Assim consigo dar conta de minhas novas responsabilidades, e ao mesmo tempo em que mantenho esse contato com vocês, leitores e ouvintes. O formato continuará o mesmo: artigos em texto e áudio versando sobre segurança para os usuários domésticos.
Obrigado por manterem esse blog vivo durante esse um ano e meio, e até a próxima.
sexta-feira, 3 de dezembro de 2010
Quando o antivírus trava o computador
O que fazer quando a atualização do antivírus trava o computador? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo no blog da AVG que ensina como resolver o problema de travamento do antivírus provocado pela atualização de ontem.
Para ler esse artigo, clique no botão abaixo.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para ler o artigo no blog da AVG que ensina como resolver o problema de travamento do antivírus provocado pela atualização de ontem.
Para ler esse artigo, clique no botão abaixo.
Ontem alguns usuários do excelente antivírus AVG relataram que seus computadores não puderam ser reinicializados após uma atualização no antivírus. O problema foi reconhecido pela empresa, que de imediato retirou a atualização defeituosa do ar, e mostrou em um artigo em seu blog como recuperar o computador nesse caso específico.
O problema lembra outro ocorrido esse ano com alguns dos usuários do antivírus da Symantec, e de vez em quando essa questão incide sobre usuários que têm em seus computadores alguma configuração particular, sem ser algo que afete grande número de pessoas. A pergunta óbvia é: o que fazer numa situação dessas?
Bem, tudo depende do tempo que se tem para resolver o problema, da necessidade (imediata ou não) de acesso à Web, e da ligação emocional que temos com nossa solução de antivírus.
O fato é que não dá para acessar a Internet sem um antivírus ativo na máquina. O risco seria muito grande, e quanto mais tempo passássemos navegando sem proteção, maiores seriam as probabilidades de prejuízo grave. O mais sensato a fazer nesse caso é buscar no site do provedor do antivírus a sequência de passos a trilhar para resolver o problema. Essa busca deve ser feita a partir de outra máquina, claro. Geralmente isso envolve inicializar a máquina no modo de segurança, desinstalar a atualização que causou o problema (quando isso é possível) e voltar a usar o computador normalmente. A AVG, por exemplo, dá instruções exatamente nesse sentido.
Mas e quando esse voltar um passo atrás com o antivírus não é possível? Bem, aí a solução mais rápida pode ser a inicialização no modo de segurança, seguida da remoção completa do antivírus e da instalação — ainda que temporária — de outro pacote de proteção. Inúmeras soluções gratuitas de antivírus podem nos resgatar em um momento de necessidade: AVG, Avira, ESET, Microsoft, Panda, e tantos outros podem ser utilizados como paliativos enquanto nossa solução preferencial está no estaleiro. Depois de resolvido o problema pela empresa, basta desinstalar a solução paliativa e reinstalar nosso antivírus de escolha. O que não vale é desativar o antivírus e continuar navegando como se nada estivesse acontecendo. Isso equivale, como eu já disse, a fechar os olhos e atravessar sem proteção uma área onde está ocorrendo um tiroteio.
A enquete da semana está fechada Parabéns aos 31% dos respondentes que fazem varreduras diárias em seus discos. Os 15% que fazem varreduras semanais não estão muito atrás, mas correm o risco de arcar por uma semana com códigos maliciosos em suas máquinas, o que não seria nada bom, não é verdade? Os demais 54% se arriscam demais na opinião desse blogueiro.
Nossa nova enquete diz respeito ao cuidado com a segurança de nossas redes sociais preferenciais: quando foi a última vez que gerenciamos os parâmetros de privacidade?
Por fim, uma notícia interessante: esse é o nosso artigo de segurança de número 300. Muito obrigado a todos vocês pela audiência, que é o que me impulsiona a continuar esse trabalho.
Um excelente fim de semana a todos, e até a próxima.
O problema lembra outro ocorrido esse ano com alguns dos usuários do antivírus da Symantec, e de vez em quando essa questão incide sobre usuários que têm em seus computadores alguma configuração particular, sem ser algo que afete grande número de pessoas. A pergunta óbvia é: o que fazer numa situação dessas?
Bem, tudo depende do tempo que se tem para resolver o problema, da necessidade (imediata ou não) de acesso à Web, e da ligação emocional que temos com nossa solução de antivírus.
O fato é que não dá para acessar a Internet sem um antivírus ativo na máquina. O risco seria muito grande, e quanto mais tempo passássemos navegando sem proteção, maiores seriam as probabilidades de prejuízo grave. O mais sensato a fazer nesse caso é buscar no site do provedor do antivírus a sequência de passos a trilhar para resolver o problema. Essa busca deve ser feita a partir de outra máquina, claro. Geralmente isso envolve inicializar a máquina no modo de segurança, desinstalar a atualização que causou o problema (quando isso é possível) e voltar a usar o computador normalmente. A AVG, por exemplo, dá instruções exatamente nesse sentido.
Mas e quando esse voltar um passo atrás com o antivírus não é possível? Bem, aí a solução mais rápida pode ser a inicialização no modo de segurança, seguida da remoção completa do antivírus e da instalação — ainda que temporária — de outro pacote de proteção. Inúmeras soluções gratuitas de antivírus podem nos resgatar em um momento de necessidade: AVG, Avira, ESET, Microsoft, Panda, e tantos outros podem ser utilizados como paliativos enquanto nossa solução preferencial está no estaleiro. Depois de resolvido o problema pela empresa, basta desinstalar a solução paliativa e reinstalar nosso antivírus de escolha. O que não vale é desativar o antivírus e continuar navegando como se nada estivesse acontecendo. Isso equivale, como eu já disse, a fechar os olhos e atravessar sem proteção uma área onde está ocorrendo um tiroteio.
A enquete da semana está fechada Parabéns aos 31% dos respondentes que fazem varreduras diárias em seus discos. Os 15% que fazem varreduras semanais não estão muito atrás, mas correm o risco de arcar por uma semana com códigos maliciosos em suas máquinas, o que não seria nada bom, não é verdade? Os demais 54% se arriscam demais na opinião desse blogueiro.
Nossa nova enquete diz respeito ao cuidado com a segurança de nossas redes sociais preferenciais: quando foi a última vez que gerenciamos os parâmetros de privacidade?
Por fim, uma notícia interessante: esse é o nosso artigo de segurança de número 300. Muito obrigado a todos vocês pela audiência, que é o que me impulsiona a continuar esse trabalho.
Um excelente fim de semana a todos, e até a próxima.
quinta-feira, 2 de dezembro de 2010
O ataque via Twitter "trends"
Um ataque simples e engenhoso mira os usuários do Twitter interessados nas principais tendências do momento. Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para baixar ler um artigo de Sean-Paul Correll, da PandaLabs sobre o ataque nos “trends” do Twitter.
Para ler esse artigo, clique no botão abaixo.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Clique aqui para baixar ler um artigo de Sean-Paul Correll, da PandaLabs sobre o ataque nos “trends” do Twitter.
Para ler esse artigo, clique no botão abaixo.
O mecanismo de “trends” do Twitter (que em português quer dizer “tendências”) é usado para divulgar assuntos que estão em alta naquele site de mensagens. No Brasil o “trends” ficou conhecido esse ano com a famosa campanha #calabocagalvao, que ficou no topo das tendências do site no mundo inteiro por vários dias.
Os ciber-criminosos estão usando esse mecanismo de tendências do Twitter para efetuar um ataque simples e engenhoso, como informa Sean-Paul Correll, da Panda Labs. Funciona assim: os bandidos criam contas fantasmas no Twitter e se apoderam de contas de usuários que têm senhas fracas. Aí começam a “tuitar” um mesmo assunto, gerando uma tendência. Por exemplo, o dia mundial de combate à AIDS é um dos assuntos explorados mais recentemente. Nos tweets maliciosos, um link reduzido que leva a uma página que vai tentar descarregar um cavalo de troia no computador da vítima. Os links reduzidos, para quem não sabe, são produzidos por serviços que visam diminuir o número de caracteres em um link. Normalmente os links ocupam dezenas de caracteres (HTTP://5minseg.blogspot.com, por exemplo, tem 27 caracteres), e como o Twitter permite mensagens de apenas 140 caracteres, URLs grandes tendem a consumir espaço que seria necessário para a mensagem. Os serviços de redução de URL resolvem o problema, reduzindo para pouco mais de 20 caracteres qualquer endereço. O problema é que aí o usuário não sabe onde está clicando, e pode ser levado a sites maliciosos, como no caso desse ataque. E se o “tweet” diz respeito a um assunto que é tendência, mais gente tende a ser enganada.
E como fazer para evitar esse tipo de ataque? Bem, a primeira coisa é avaliarmos até que ponto deixamos nossa curiosidade nos levar, não é mesmo? As tendências do Twitter são interessantes, e em alguns casos até importantes. Com as recentes operações militares contra as drogas no Rio, por exemplo, muitos são os que tuitam a respeito de locais inseguros, onde operações ocorrem naquele momento. Claro que isso é bastante útil para quem está ligado no assunto, podendo evitar ir a esses locais. Mas esse tipo de tendência de uso imediato e de utilidade pública é exceção. A vasta maioria das tendências do Twitter trata de assuntos triviais ou de acontecimentos com celebridades. Será que não dá para segurar a curiosidade nesses casos? Será que não é melhor depender de portais confiáveis de notícias para nos interirarmos dos assuntos? Penso que sim.
Outra dica importante é a utilização de mecanismos que nos permitam analisar as URLs reduzidas antes de clicarmos. Existem plugins para navegadores que mostram a URL final quando passamos o mouse sobre o link reduzido, o que pode nos dar uma ideia melhor se devemos clicar ou não. No Firefox, por exemplo, eu uso o Xpnd it!, que faz o serviço de forma rápida e eficiente (e é gratuito, claro).
Até a próxima.
Os ciber-criminosos estão usando esse mecanismo de tendências do Twitter para efetuar um ataque simples e engenhoso, como informa Sean-Paul Correll, da Panda Labs. Funciona assim: os bandidos criam contas fantasmas no Twitter e se apoderam de contas de usuários que têm senhas fracas. Aí começam a “tuitar” um mesmo assunto, gerando uma tendência. Por exemplo, o dia mundial de combate à AIDS é um dos assuntos explorados mais recentemente. Nos tweets maliciosos, um link reduzido que leva a uma página que vai tentar descarregar um cavalo de troia no computador da vítima. Os links reduzidos, para quem não sabe, são produzidos por serviços que visam diminuir o número de caracteres em um link. Normalmente os links ocupam dezenas de caracteres (HTTP://5minseg.blogspot.com, por exemplo, tem 27 caracteres), e como o Twitter permite mensagens de apenas 140 caracteres, URLs grandes tendem a consumir espaço que seria necessário para a mensagem. Os serviços de redução de URL resolvem o problema, reduzindo para pouco mais de 20 caracteres qualquer endereço. O problema é que aí o usuário não sabe onde está clicando, e pode ser levado a sites maliciosos, como no caso desse ataque. E se o “tweet” diz respeito a um assunto que é tendência, mais gente tende a ser enganada.
E como fazer para evitar esse tipo de ataque? Bem, a primeira coisa é avaliarmos até que ponto deixamos nossa curiosidade nos levar, não é mesmo? As tendências do Twitter são interessantes, e em alguns casos até importantes. Com as recentes operações militares contra as drogas no Rio, por exemplo, muitos são os que tuitam a respeito de locais inseguros, onde operações ocorrem naquele momento. Claro que isso é bastante útil para quem está ligado no assunto, podendo evitar ir a esses locais. Mas esse tipo de tendência de uso imediato e de utilidade pública é exceção. A vasta maioria das tendências do Twitter trata de assuntos triviais ou de acontecimentos com celebridades. Será que não dá para segurar a curiosidade nesses casos? Será que não é melhor depender de portais confiáveis de notícias para nos interirarmos dos assuntos? Penso que sim.
Outra dica importante é a utilização de mecanismos que nos permitam analisar as URLs reduzidas antes de clicarmos. Existem plugins para navegadores que mostram a URL final quando passamos o mouse sobre o link reduzido, o que pode nos dar uma ideia melhor se devemos clicar ou não. No Firefox, por exemplo, eu uso o Xpnd it!, que faz o serviço de forma rápida e eficiente (e é gratuito, claro).
Até a próxima.
quarta-feira, 1 de dezembro de 2010
Segurança em compras online
O Natal se aproxima, e as compras online são uma alternativa barata para os presentes. Mas será que é seguro? Ouça no artigo de hoje.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Para ler esse artigo, clique no botão abaixo.
Audio via YouTube
Audio via Odeo/FileFreak
Clique aqui para baixar o artigo do site FileFreak em seu micro para poder carregá-lo em seu mp3-player.
Para ler esse artigo, clique no botão abaixo.
Já faz alguns anos que as compras online fazem parte do cotidiano de muita gente, lá fora e aqui no Brasil, e no Natal esse procedimento é adotado por muitos de nós, ávidos por aproveitar ofertas e evitar filas. Se forem feitas com critério, as compras online são uma alternativa segura e barata, mas se a gente não presta atenção, corre o risco de tomar prejuízo.
A primeira e principal dica é efetuar as compras em sites de boa reputação e comprar de vendedores também de boa reputação. Em ambos os casos a busca pelo produto desejado não deve terminar conosco tendo encontrado o menor preço: a partir daí é importante pesquisar se as transações com aquele site e com aquele vendedor são bem avaliadas por quem comprou antes de nós. Os sites de leilão online, por exemplo, têm sistemas de reputação para vendedores, e basta uma rápida avaliada nos comentários de compradores pregressos para sabermos se as chances são grandes de entrarmos em fria ou não.
No caso do principal site de leilão online em funcionamento no Brasil, o MercadoLivre, existe a possibilidade de uma proteção extra: o serviço MercadoPago. Trata-se de um serviço de pagamentos em que o comprador cede o crédito ao MercadoPago e este serviço paga o comprador. Neste caso o comprador está protegido, podendo receber seu dinheiro de volta — ainda que com limitações — caso haja problema com a compra.
O site de leilões americano e-Bay oferece um serviço semelhante, e sem as limitações impostas pelo MercadoPago. Recentemente tive a oportunidade de testar esse serviço de proteção, e posso atestar que funciona: o porta-retrato digital que comprei de um vendedor supostamente de boa reputação e pelo qual paguei por US$11.99, não chegou. É bom lembrar que no Brasil um produto similar custa de R$150 para cima. Ao verificar, percebi que o vendedor havia sido descadastrado pelo próprio e-Bay e acionei o serviço de proteção. O resultado é que minha conta foi creditada no valor pago, incluindo o valor do frete. Fora o tempo de espera pelo produto, não perdi nada. Isso porque o e-Bay é um serviço sério, claro.
Minha experiência com o e-Bay mostra ainda uma coisa bem importante: quando a oferta parece boa demais para ser verdade, provavelmente é. Não é difícil economizarmos alto em compras online. A ausência de estoque, de lojas com manutenção cara e de vendedores tende a colocar os produtos numa faixa que varia entre 20% e 50% abaixo dos produtos de loja. Mas se nossa ganância nos faz salivar por descontos de irreais de70%, 80%, 90%, não poderemos reclamar quando formos enganados, não é mesmo?
Até a próxima.
A primeira e principal dica é efetuar as compras em sites de boa reputação e comprar de vendedores também de boa reputação. Em ambos os casos a busca pelo produto desejado não deve terminar conosco tendo encontrado o menor preço: a partir daí é importante pesquisar se as transações com aquele site e com aquele vendedor são bem avaliadas por quem comprou antes de nós. Os sites de leilão online, por exemplo, têm sistemas de reputação para vendedores, e basta uma rápida avaliada nos comentários de compradores pregressos para sabermos se as chances são grandes de entrarmos em fria ou não.
No caso do principal site de leilão online em funcionamento no Brasil, o MercadoLivre, existe a possibilidade de uma proteção extra: o serviço MercadoPago. Trata-se de um serviço de pagamentos em que o comprador cede o crédito ao MercadoPago e este serviço paga o comprador. Neste caso o comprador está protegido, podendo receber seu dinheiro de volta — ainda que com limitações — caso haja problema com a compra.
O site de leilões americano e-Bay oferece um serviço semelhante, e sem as limitações impostas pelo MercadoPago. Recentemente tive a oportunidade de testar esse serviço de proteção, e posso atestar que funciona: o porta-retrato digital que comprei de um vendedor supostamente de boa reputação e pelo qual paguei por US$11.99, não chegou. É bom lembrar que no Brasil um produto similar custa de R$150 para cima. Ao verificar, percebi que o vendedor havia sido descadastrado pelo próprio e-Bay e acionei o serviço de proteção. O resultado é que minha conta foi creditada no valor pago, incluindo o valor do frete. Fora o tempo de espera pelo produto, não perdi nada. Isso porque o e-Bay é um serviço sério, claro.
Minha experiência com o e-Bay mostra ainda uma coisa bem importante: quando a oferta parece boa demais para ser verdade, provavelmente é. Não é difícil economizarmos alto em compras online. A ausência de estoque, de lojas com manutenção cara e de vendedores tende a colocar os produtos numa faixa que varia entre 20% e 50% abaixo dos produtos de loja. Mas se nossa ganância nos faz salivar por descontos de irreais de70%, 80%, 90%, não poderemos reclamar quando formos enganados, não é mesmo?
Até a próxima.
Assinar:
Postagens (Atom)