Os colunistas Carlos Heitor Cony, Artur Xexéo e Viviane Mosé, discutem os golpes na Internet e o risco que as crianças correm. A criança por ser mais inocente, pode facilmente cair em um scam e contaminar um computador que mais tarde será utilizado por um adulto.
Venho destacando este fato da Segurança, pois um ataque visando crianças pode ter mais êxito do que um ataque que visa adultos. Uma vez contaminado o computador com um programa espião, a família toda fica vulnerável por utilizar o mesmo equipamento.
É preciso educar as crianças, mas o mais seguro é manter equipamentos separados para as crianças e adolescentes e para os adultos.
Fonte: http://cbn.globoradio.globo.com/comentaristas/cony,-xexeo-viviane-mose/2010/07/13/OS-GOLPES-NA-INTERNET.htm
quinta-feira, 15 de julho de 2010
Cientistas Brasileiros desenvolvem novo sistema de criptografia baseado no caos
Os sistemas de criptografia são largamente utilizados na Segurança de Informações, para evitar que em uma comunicação, uma pessoa possa ler o conteúdo da mensagem. Além disso, criptografia é aplicada de uma forma diferente, para garantir a integridade de uma mensagem. Ou seja, que ela não foi modificada no caminho. Uma outra aplicação da criptografia é para se definir a identidade de uma mensagem, garantindo que quem escreveu aquela mensagem é realmente quem diz ser.
Utilizamos sistemas criptográficos diariamente e as vezes nem notamos. Ao acessar um Internet Banking, em uma compra via Internet, ao acessar nossos e-mails no Gmail, ao conversar pelo Skype. O uso comercial da criptografia, exige que estudos sejam aplicados constantemente para torná-la mais seguro e ao mesmo tempo mais rápida.
Cientistas da Universidade de São Paulo (USP), desenvolveram um novo método criptográfico que utiliza sistemas caóticos para a geração de chaves. O sistema já vem sendo estudado em outras universidades, mas a performance não era satisfatória. No modelo da USP, além da segurança ser maior que os sistemas em uso atualmente, a performance se mostrou um pouco mais lenta, mas aceitável para os modelos comerciais.
Participaram da pesquisa, estudantes e professores do Instituto de Física de São Carlos e do Departamento de Física e Matemática da Faculdade de Filosofia, Ciências e Letras de Ribeirão Preto. O artigo foi publicado na International Journal of Modern Physics C.
Leia Mais:
quarta-feira, 14 de julho de 2010
Política de Mesa Limpa, Olhos de Lince e Eyes Shoulder
Lendo os mais diversos blogs existentes na Internet, me atentei para um post que comentava sobre a matéria do Fantástico de 11 de Julho, sobre Jogadores de Futebol e Prostituição.
Durante a matéria, foi exibido a imagem de um e-mail impresso, onde se destacam trechos relativos à exigência de não utilizar preservativo durante o ato sexual.
O fato é que a empresa que fez a animação eletrônica, não cobriu o restante do e-mail de forma a impedir a leitura. Talvez julgaram que ninguém iria conseguir ler o texto rapidamente.
Este é um pecado comum na área de segurança da informação, o julgamento de que ninguém irá conseguir fazer algo. Eis que com o advento da TV Digital de Alta Definição, temos telespectadores com "Olhos de Lince", que conseguiram ler trechos do e-mail não destacado. Talvez isto não seja difícil com uma TV grande e de alta definição.
Despertado pelo interesse em ler o restante do conteúdo, o telespectador obteve no próprio site da Rede Globo, o vídeo disponibilizado publicamente para assistir novamente a matéria. Desta vez conseguiu pausar o vídeo no momento exato da exibição do e-mail. Resultado: Conseguiu com ferramentas de edição de imagem, ampliar o texto e inferir o conteúdo.
Nas empresas temos muitos "Olhos de Lince" que conseguem rapidamente ler trechos de documentos que se tem acesso temporário. Me recordo do filme Hackers, onde um dos atacantes se disfarça de entregador de flores e circula por um escritório, lendo as senhas de usuários quando estes a digitavam. Este ataque é chamado de "Eyes Shoulder", pois o atacante lê a senha digita sobre o ombro da vítima.
Há alguns dias visitei minha agência bancária e enquanto aguardava na recepção, pude ver alguns documentos sobre a mesa. Propostas de Empréstimos, Fichas de Cadastros e Pedidos de Aumento do Limite no Cheque Especial. Se não bastasse, o atendente da recepção me deixou só com os documentos, enquanto pegava uma água para mim. Se quisesse, poderia tirar fotos dos documentos com meu celular. O local não era restrito, vários clientes e motoboys circulam por ali. Ao retornar à minha empresa, registrei uma reclamação no site da empresa, relatando o fato e sugerindo um treinamento aos funcionários.
Semanas depois, tudo havia mudado. Ao me recepcionar, rapidamente o atendente cobriu o papel que estava escrevendo e todos os documentos agora ficam dentro de gavetas. Me senti orgulhoso do exemplo.
Blog sobre notícia do Fantástico - http://www.naosalvo.com.br/vc/15-drops-–-gafe-do-fantastico-deixa-email-sobre-ronaldo-e-richarlyson-vazar/#more-11002
Durante a matéria, foi exibido a imagem de um e-mail impresso, onde se destacam trechos relativos à exigência de não utilizar preservativo durante o ato sexual.
O fato é que a empresa que fez a animação eletrônica, não cobriu o restante do e-mail de forma a impedir a leitura. Talvez julgaram que ninguém iria conseguir ler o texto rapidamente.
Este é um pecado comum na área de segurança da informação, o julgamento de que ninguém irá conseguir fazer algo. Eis que com o advento da TV Digital de Alta Definição, temos telespectadores com "Olhos de Lince", que conseguiram ler trechos do e-mail não destacado. Talvez isto não seja difícil com uma TV grande e de alta definição.
Despertado pelo interesse em ler o restante do conteúdo, o telespectador obteve no próprio site da Rede Globo, o vídeo disponibilizado publicamente para assistir novamente a matéria. Desta vez conseguiu pausar o vídeo no momento exato da exibição do e-mail. Resultado: Conseguiu com ferramentas de edição de imagem, ampliar o texto e inferir o conteúdo.
Nas empresas temos muitos "Olhos de Lince" que conseguem rapidamente ler trechos de documentos que se tem acesso temporário. Me recordo do filme Hackers, onde um dos atacantes se disfarça de entregador de flores e circula por um escritório, lendo as senhas de usuários quando estes a digitavam. Este ataque é chamado de "Eyes Shoulder", pois o atacante lê a senha digita sobre o ombro da vítima.
Há alguns dias visitei minha agência bancária e enquanto aguardava na recepção, pude ver alguns documentos sobre a mesa. Propostas de Empréstimos, Fichas de Cadastros e Pedidos de Aumento do Limite no Cheque Especial. Se não bastasse, o atendente da recepção me deixou só com os documentos, enquanto pegava uma água para mim. Se quisesse, poderia tirar fotos dos documentos com meu celular. O local não era restrito, vários clientes e motoboys circulam por ali. Ao retornar à minha empresa, registrei uma reclamação no site da empresa, relatando o fato e sugerindo um treinamento aos funcionários.
Semanas depois, tudo havia mudado. Ao me recepcionar, rapidamente o atendente cobriu o papel que estava escrevendo e todos os documentos agora ficam dentro de gavetas. Me senti orgulhoso do exemplo.
Blog sobre notícia do Fantástico - http://www.naosalvo.com.br/vc/15-drops-–-gafe-do-fantastico-deixa-email-sobre-ronaldo-e-richarlyson-vazar/#more-11002
sábado, 13 de fevereiro de 2010
ALERTA: Quebrada a segurança do chip de cartão de crédito
Especialistas da Universidade de Cambridge, noticiaram esta semana que descobriram um método de burlar o sistema de chip e pin dos cartões de crédito atuais.
Segundo os pesquisadores, há uma falha no processo onde se diz a máquina de cartão, se a validação irá ocorrer por chip+senha ou assinatura. Ao explorar esta "falha" de processo, é possível enganar a máquina e utilizar qualquer senha. Ainda no recibo, é impresso que foi validada a compra com senha.
Os pesquisadores afirmam ainda, que para corrigir o problema, todo o processo de autorização de compra deverá ser redefinido.
Até hoje, bancos acreditam que o sistema é seguro e normalmente reclamações de compras feitas com cartão e senha não são reembolsadas. Já foram registrados casos na Inglaterra, onde clientes reclamaram de compras não feitas por eles.
A notícia rendeu uma reportagem de 9 minutos na BBC, devido a importância do fato.
--
Atualmente o cartão com chip também é utilizado para certificados digitais. Os certificados A3 são os considerados mais seguros, porém com esta descoberta, podem ser invalidados os smart cards de criptografia.
Procurei informações nas operadoras de cartão, mas ninguém se pronunciou ainda.
Mais:
- http://threatpost.com/pt_br/blogs/experts-descobrem-como-quebrar-protecao-de-cartoes-de-credito-com-chip-021210
- http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/
- http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html
Segundo os pesquisadores, há uma falha no processo onde se diz a máquina de cartão, se a validação irá ocorrer por chip+senha ou assinatura. Ao explorar esta "falha" de processo, é possível enganar a máquina e utilizar qualquer senha. Ainda no recibo, é impresso que foi validada a compra com senha.
Os pesquisadores afirmam ainda, que para corrigir o problema, todo o processo de autorização de compra deverá ser redefinido.
Até hoje, bancos acreditam que o sistema é seguro e normalmente reclamações de compras feitas com cartão e senha não são reembolsadas. Já foram registrados casos na Inglaterra, onde clientes reclamaram de compras não feitas por eles.
A notícia rendeu uma reportagem de 9 minutos na BBC, devido a importância do fato.
--
Atualmente o cartão com chip também é utilizado para certificados digitais. Os certificados A3 são os considerados mais seguros, porém com esta descoberta, podem ser invalidados os smart cards de criptografia.
Procurei informações nas operadoras de cartão, mas ninguém se pronunciou ainda.
Mais:
- http://threatpost.com/pt_br/blogs/experts-descobrem-como-quebrar-protecao-de-cartoes-de-credito-com-chip-021210
- http://www.lightbluetouchpaper.org/2010/02/11/chip-and-pin-is-broken/
- http://www.bbc.co.uk/blogs/newsnight/susanwatts/2010/02/new_flaws_in_chip_and_pin_syst.html
Site da Receita Federal está fora do ar
O site da Receita Federal está fora do ar temporariamente, segundo informações do Serpro, para manutenção. A data prevista para retorno é 15/Fevereiro.
Especula-se que o site está sendo preparado para o período de pico do Imposto de Renda Pessoa Física. Neste período, tanto o download do software para declaração, quanto para consultas e informações da declaração congestionam o site.
Mais: http://ultimosegundo.ig.com.br/economia/2010/02/13/site+da+receita+federal+sai+do+ar+9397318.html
Especula-se que o site está sendo preparado para o período de pico do Imposto de Renda Pessoa Física. Neste período, tanto o download do software para declaração, quanto para consultas e informações da declaração congestionam o site.
Mais: http://ultimosegundo.ig.com.br/economia/2010/02/13/site+da+receita+federal+sai+do+ar+9397318.html
quinta-feira, 11 de fevereiro de 2010
Brainshare 2010
Novell Brainshare é a conferência da Novell, realizada anualmente em Salt Lake City, Utah. Este ano ocorrerá de 21 a 25 de Março, no Centro de Eventos de Salt Lake.
Dentre as sessões técnicas, eu e meu amigo Carlos Eduardo Mendes, vamos apresentar uma sessão sobre o Novell Identity Tracking Solution, componente para o Novell Sentinel e que tem como missão fornecer informações sobre o provisionamento e deprovisionamento de identidades.
Quando conversei com o Carlos Mendes sobre o evento, pensei em vários temas para apresentar, mas como o assunto de Conformidade interessa a muitas pessoas, acreditamos que Identity Tracking poderia ter mais chances de ser aprovado.
No início do ano recebemos a confirmação da Novell que nossa proposta tinha sido aceita. Vale lembrar que a comunidade Novell pode votar nas sessões que mais interessavam, então podemos dizer até que foi uma escolha do público.
Nossa apresentação já está quase pronta e depois do Brainshare vou postar aqui no blog. Agora o próximo passo é preparar o ambiente de demonstração.
Estão todos convidados para o Brainshare. www.novell.com/brainshare.
Dentre as sessões técnicas, eu e meu amigo Carlos Eduardo Mendes, vamos apresentar uma sessão sobre o Novell Identity Tracking Solution, componente para o Novell Sentinel e que tem como missão fornecer informações sobre o provisionamento e deprovisionamento de identidades.
Quando conversei com o Carlos Mendes sobre o evento, pensei em vários temas para apresentar, mas como o assunto de Conformidade interessa a muitas pessoas, acreditamos que Identity Tracking poderia ter mais chances de ser aprovado.
No início do ano recebemos a confirmação da Novell que nossa proposta tinha sido aceita. Vale lembrar que a comunidade Novell pode votar nas sessões que mais interessavam, então podemos dizer até que foi uma escolha do público.
Nossa apresentação já está quase pronta e depois do Brainshare vou postar aqui no blog. Agora o próximo passo é preparar o ambiente de demonstração.
Estão todos convidados para o Brainshare. www.novell.com/brainshare.
segunda-feira, 8 de fevereiro de 2010
A arte da Perícia Digital
Interessante entrevista com os Peritos Forenses, Marcelo Lau e Antonio Milagre. Vejam com atenção à técnica de esteganografia que consegue enviar um vírus dentro de um arquivo do PowerPoint.
quinta-feira, 4 de fevereiro de 2010
Quando uma política de Segurança ajuda o funcionário
Nestas horas que uma política de restrição no e-mail ajudaria o funcionário a não passar vergonha em rede nacional.
segunda-feira, 1 de fevereiro de 2010
Pushdo botnet ataca em SSL
Investigadores da Fundação Shadowserver, rastreiam e monitoram botnets ao redor do mundo. Segundo eles, a botnet Pushdo tem cerca de três anos e é utilizada na maioria das vezes para emissão de mensagens indesejadas, os spam's. Porém a Pushdo pode receber instruções para ataques mais nocivos.
Em monitoramentos recentes, verificou-se que alguns sites de grande relevância como FBI, Twitter e Paypal estão sendo atacados através de HTTP seguro. Estes sites normalmente aceitam estas conexões para autenticação e acesso seguro aos dados.
A diferença do ataque, faz com que o servidor web tenha mais trabalho, pois a conexão inicial do servidor web precisa gerar chaves de criptografia, o que eleva a utilização do servidor. Teoricamente, um ataque de negação de serviços nestas condições será mais rápido do que o método tradicional por HTTP não seguro. Além disso, especialistas de segurança reforçam mais a segurança no HTTP não seguro do que no HTTP seguro.
Por outro lado, o número de sites vulneráveis a este ataque é menor, pois a maioria não aceita conexões HTTPS.
Fiquem alertas e monitorem seus serviços web.
Mais: http://idgnow.uol.com.br/seguranca/2010/02/01/botnet-ataca-grandes-sites-com-enxurrada-de-conexoes-ssl/
Em monitoramentos recentes, verificou-se que alguns sites de grande relevância como FBI, Twitter e Paypal estão sendo atacados através de HTTP seguro. Estes sites normalmente aceitam estas conexões para autenticação e acesso seguro aos dados.
A diferença do ataque, faz com que o servidor web tenha mais trabalho, pois a conexão inicial do servidor web precisa gerar chaves de criptografia, o que eleva a utilização do servidor. Teoricamente, um ataque de negação de serviços nestas condições será mais rápido do que o método tradicional por HTTP não seguro. Além disso, especialistas de segurança reforçam mais a segurança no HTTP não seguro do que no HTTP seguro.
Por outro lado, o número de sites vulneráveis a este ataque é menor, pois a maioria não aceita conexões HTTPS.
Fiquem alertas e monitorem seus serviços web.
Mais: http://idgnow.uol.com.br/seguranca/2010/02/01/botnet-ataca-grandes-sites-com-enxurrada-de-conexoes-ssl/
terça-feira, 26 de janeiro de 2010
Mitnick clona celular ao vivo na Campus Party
Kevin Mitnick, o ex-hacker e atual consultor de segurança, fez uma demonstração ao vivo na Campus Party, de como é fácil clonar um número de celular.
Segundo Mitnick, não é necessário conhecer técnicas computacionais avançadas para promover um ataque, basta convencer o usuário a fornecê-las para você.
"Uma pessoa se sentiria mais a vontade em compartilhar uma informação, se ver que o número que está chamando é conhecido".
Mitnick alerta ainda para um novo método de ataque, onde no lugar do tradicional e-mail com um link para o usuário clicar, agora vem um número de telefone que direciona para uma central de atendimento falsa, que coleta informações do usuário. Esta nova técnica está sendo chamada de vishing.
Mais: http://tecnologia.ig.com.br/noticia/2010/01/26/campus+party+2010+mitnick+clona+celular+ao+vivo+9376814.html
Segundo Mitnick, não é necessário conhecer técnicas computacionais avançadas para promover um ataque, basta convencer o usuário a fornecê-las para você.
"Uma pessoa se sentiria mais a vontade em compartilhar uma informação, se ver que o número que está chamando é conhecido".
Mitnick alerta ainda para um novo método de ataque, onde no lugar do tradicional e-mail com um link para o usuário clicar, agora vem um número de telefone que direciona para uma central de atendimento falsa, que coleta informações do usuário. Esta nova técnica está sendo chamada de vishing.
Mais: http://tecnologia.ig.com.br/noticia/2010/01/26/campus+party+2010+mitnick+clona+celular+ao+vivo+9376814.html
Assinar:
Postagens (Atom)
Postagens
