No último dia 20, o serviço de armazenamento de arquivos Dropbox cometeu um erro no mínimo embaraçoso, quando ao atualizar parte do código do sistema foi incluído um bug que desligou a necessidade de informar senha para se logar no site. Em termos práticos, todos os arquivos de todos os usuários puderam ser acessados livremente entre as 2PM e 6PM daquele dia. Bastava conhecer o login para ter acesso total a conta.
Este é o último olho roxo da segurança do armazenamento em cloud computing, precedido pelos problemas da Playstation Network da Sony e ataques cometidos pelo grupo de hackers LulzSec.
Depois desse incidente devemos nos perguntar se devemos ou não confiar no Dropbox. Uma resposta rápida sobre isso seria sim e nao ao mesmo tempo. Podemos usar o serviço, mas devemos ter muita prudência. Colocar arquivos que possuam informações valiosas ao nosso negócio pode ser uma temeridade. Devemos criar o hábito de analisar cada empresa que oferece o serviço e conhecer o real nível de criptografia usado pela empresa, bem como saber qual o comprometimento desta empresa com os dados de terceiros. Se essa informação não estiver disponível, melhor não usar o serviço e procurar por outra solução mais confiável.
Por exemplo, o Dropbox foi criticada meses atrás por ter enganado usuários sobre o nível de criptografia usado. Além disso, parece que a empresa tem o hábito de entregar documentos a autoridades sempre de solicitada, negligenciando a privacidade dos usuários.
No caso particular deste último problema com os serviços do Dropbox, o desligamento da autenticação de senha por 4 horas não é aceitável para um serviço que se propõe a agrupar arquivos de seus usuários. Na prática, seria como se alguém te prometesse segurança e deixasse as portas do seu escritório abertas à noite.
Conclusão: é extremamente necessário sermos cautelosos com serviços online gratuitos, observando como são definidas as políticas que determinam quais serviços podem ser usados e como. O Dropbox oferece um excelente aumento de produtividade, especialmente em uma época em que cada vez mais usuários se conectam ao trabalho através de dispositivos móveis, mas não deve ser usado em todos os cenários. Eu particularmente uso o serviço, mas não deposito arquivos críticos ou que possam comprometer o negócio de minha empresa. Portanto, usem com muita cautela o serviço.
Um abraço.
Marcelo
segunda-feira, 27 de junho de 2011
quarta-feira, 22 de junho de 2011
Grupo Lulzsec diz ter derrubado sites do governo brasileiro
O grupo de crackers Lulzsec atacou novamente e, desta vez, os alvos foram os sites do governo brasileiro. Na madrugada desta quarta-feira (22/06), foi postada uma mensagem em seu perfil no Twitter afirmando ele teriam atacado as páginas da Presidência e Brasil.gov.
No início da manhã, os sites ainda estavam fora do ar. Eles foram restabelecidos por voltas das 9 horas.
O grupo parabenizou sua unidade brasileira – responsável pelo ataque. “Nossa unidade brasileira está fazendo progresso. Bom trabalho irmãos da @LulzSecBrazil!”
A ação faz parte da operação AntiSec, criada em parceria com a organização Anonymous, para derrubar sites governamentais e de grandes empresas em todo o mundo.
Segundo nota do governo brasileiro, o ataque não ocorreu, visto que o Serpro fez o bloqueio da tentativa de ataque. Veja abaixo nota do governo brasileiro:
"O Serviço de Processamento de Dados (Serpro) detectou nesta madrugada, entre 0h30 e 3h, uma tentativa de ataque de robôs eletrônicos aos sites Presidência da República; Portal Brasil e Receita Federal. O sistema de segurança do Serpro, onde estes portais estão hospedados, bloqueou todas as ação dos hackers, o que levou ao congestionamento das redes, deixando os sites indisponíveis durante cerca de uma hora"
No início da manhã, os sites ainda estavam fora do ar. Eles foram restabelecidos por voltas das 9 horas.
O grupo parabenizou sua unidade brasileira – responsável pelo ataque. “Nossa unidade brasileira está fazendo progresso. Bom trabalho irmãos da @LulzSecBrazil!”
A ação faz parte da operação AntiSec, criada em parceria com a organização Anonymous, para derrubar sites governamentais e de grandes empresas em todo o mundo.
Segundo nota do governo brasileiro, o ataque não ocorreu, visto que o Serpro fez o bloqueio da tentativa de ataque. Veja abaixo nota do governo brasileiro:
"O Serviço de Processamento de Dados (Serpro) detectou nesta madrugada, entre 0h30 e 3h, uma tentativa de ataque de robôs eletrônicos aos sites Presidência da República; Portal Brasil e Receita Federal. O sistema de segurança do Serpro, onde estes portais estão hospedados, bloqueou todas as ação dos hackers, o que levou ao congestionamento das redes, deixando os sites indisponíveis durante cerca de uma hora"
quinta-feira, 16 de junho de 2011
6 formas de proteção contra engenharia social
Para os que não conhecem o termo, engenharia social é a pratica de obtenção de informações através da manipulação de pessoas. Geralmente o cracker usa técnicas de relacionamento social para obter uma informação da "vítima". Muitas vezes, essas técnicas são tão boas que as pessoas acabam caindo. Um exemplo: Uma pessoa liga para o seu telefone dizendo que sua conta da provedora de acesso internet esta com problemas sérios e ele precisa acessar a conta para corrigir o problema. Para isso precisa da sua senha. Então você passa a senha e o pseudo-técnico tem acesso total a sua conta e por ai vai. Esse exemplo é bem simples. Existem outras situações que muito se assemelham a uma situação real e a pessoa acaba entrando nessa furada.
A engenharia social faz com que pessoas comuns façam coisas que geralmente não iriam fazer. Em resumo, a engenharia social tem por objetivo corromper pessoas da mesma forma que os crackers corrompem sistemas de computação.
Seguem as 6 dicas para evitar cair nisso:
1) Tenha seu sistema atualizado e sempre teste o estado atual da segurança de sua rede. Pode-se aplicar um teste de engenharia social na sua empresa para verificar se as pessoas iram cair na artimanha.
2) Utilize soluções que ao mesmo tempo protejam e eduquem os funcionários. Por exemplo: Um sistema de bloqueio web pode impedir que usuários acessem endereços suspeitos.
3) Atualizar constantemente o seu sistema. Jamais deixar de fazer isso. Assegure-se também que as aplicações também estejam atualizadas.
4) Fazer o monitoramento de servidores e sistemas críticos para observar tendências.
5) Usar programas de combate a SPAM, Phishing * e Pharming **.
6) Jamais acreditar em contos do vigário. Se alguém ligar pra você dizendo que precisa de sua senha para resolver tal problema, simplesmente ignorar o contato. NUNCA as empresas entram em contato com a gente pedindo conta, senha ou numeros particulares. Isso é um fato simples que as vezes as pessoas se esquecem.
Bem, eh isso.
Tenham todos um bom dia e fiquem sempre alertas e esse tipo de problema.
Marcelo
* Um e-mail que surge repentinamente na caixa de entrada, de um remetente desconhecido, com um endereço eletrônico sem sentido e uma mensagem duvidosa que leva a um site falso (geralmente de um banco). Esta é a descrição de um phishing. Diferente de outros golpes, os phishings não trazem anexos. Do e-mail, o usuário é levado a clicar em um link. O objetivo do cracker é um só: roubar informações pessoais do usuário e utilizá-las ilegalmente.
** Pharming é uma tentativa de enganar os usuários da Internet roubando o nome de domínio ou a URL de um website e redirecionando seus visitantes para um website falso, pelo qual são feitas solicitações fraudulentas de informações.
A engenharia social faz com que pessoas comuns façam coisas que geralmente não iriam fazer. Em resumo, a engenharia social tem por objetivo corromper pessoas da mesma forma que os crackers corrompem sistemas de computação.
Seguem as 6 dicas para evitar cair nisso:
1) Tenha seu sistema atualizado e sempre teste o estado atual da segurança de sua rede. Pode-se aplicar um teste de engenharia social na sua empresa para verificar se as pessoas iram cair na artimanha.
2) Utilize soluções que ao mesmo tempo protejam e eduquem os funcionários. Por exemplo: Um sistema de bloqueio web pode impedir que usuários acessem endereços suspeitos.
3) Atualizar constantemente o seu sistema. Jamais deixar de fazer isso. Assegure-se também que as aplicações também estejam atualizadas.
4) Fazer o monitoramento de servidores e sistemas críticos para observar tendências.
5) Usar programas de combate a SPAM, Phishing * e Pharming **.
6) Jamais acreditar em contos do vigário. Se alguém ligar pra você dizendo que precisa de sua senha para resolver tal problema, simplesmente ignorar o contato. NUNCA as empresas entram em contato com a gente pedindo conta, senha ou numeros particulares. Isso é um fato simples que as vezes as pessoas se esquecem.
Bem, eh isso.
Tenham todos um bom dia e fiquem sempre alertas e esse tipo de problema.
Marcelo
* Um e-mail que surge repentinamente na caixa de entrada, de um remetente desconhecido, com um endereço eletrônico sem sentido e uma mensagem duvidosa que leva a um site falso (geralmente de um banco). Esta é a descrição de um phishing. Diferente de outros golpes, os phishings não trazem anexos. Do e-mail, o usuário é levado a clicar em um link. O objetivo do cracker é um só: roubar informações pessoais do usuário e utilizá-las ilegalmente.
** Pharming é uma tentativa de enganar os usuários da Internet roubando o nome de domínio ou a URL de um website e redirecionando seus visitantes para um website falso, pelo qual são feitas solicitações fraudulentas de informações.
terça-feira, 7 de junho de 2011
Criminosos usam golpe de voz no Skype
Algumas pessoas tem recebido ligações muito estranhas via Skype. Um usuário, geralmente identificado por "Online Help", faz a chamada e uma mensagem automática aparece dizendo que o computador esta em risco e que alguns virus foram detectados. Para resolver, a pessoa é orientada a visitar o site www.golsg.com e fazer o download de um programa que ira resolver todos os problemas.
Esses usuários usam nomes gerados aleatoriamente. Os crackers por trás disso desenvolveram um mecanismo sofisticado para que a ligação não fique armazenada no histórico do programa, comprometendo os padrões do Skype.
Muitos internautas registraram ligações do “suporte online” em páginas como Yahoo Answers. Apesar de não estar mais no ar, algumas pessoas conseguiram acessar o site www.golsg.com, onde foram orientadas a fazer o download de um “software de segurança” que, na verdade, infecta computadores com programas nocivos.
A sugestão é não acessar o site, visto que o programa não corrige nada no seu computador, e pelo contrário, corrompe tudo deixando o Windows totalmente instável.
A segurança do Skype é algo com que devemos nos preocupar, caso o voice spam se torne a próxima epidemia de malwares.
Fiquem atentos a mais esse problema.
Marcelo
Esses usuários usam nomes gerados aleatoriamente. Os crackers por trás disso desenvolveram um mecanismo sofisticado para que a ligação não fique armazenada no histórico do programa, comprometendo os padrões do Skype.
Muitos internautas registraram ligações do “suporte online” em páginas como Yahoo Answers. Apesar de não estar mais no ar, algumas pessoas conseguiram acessar o site www.golsg.com, onde foram orientadas a fazer o download de um “software de segurança” que, na verdade, infecta computadores com programas nocivos.
A sugestão é não acessar o site, visto que o programa não corrige nada no seu computador, e pelo contrário, corrompe tudo deixando o Windows totalmente instável.
A segurança do Skype é algo com que devemos nos preocupar, caso o voice spam se torne a próxima epidemia de malwares.
Fiquem atentos a mais esse problema.
Marcelo
sexta-feira, 3 de junho de 2011
Licença do Windows 7
Para quem não sabe, a Microsoft mudou o processo de licenciamento do Windows 7. Agora não é mais necessário digitar a chave do produto no momento da instalação do sistema. Ao instalar o produto, o sistema fica "liberado" por alguns dias e depois a ativação é feita automaticamente sem a intervenção do usuário.
O que fazer quando compramos um computador que vem com o sistema pré-instalado, mas não traz a mídia de instalação? Essa pergunta é muito comum hoje em dia, visto que a grande maioria dos desktops ou notebooks não vem com a mídia do Windows 7. Se contactamos as empresas que fabricam os computadores, elas dizem que devemos usar os procedimentos de recuperação do Windows que são incluídos nos sistemas. Eu particularmente posso dizer que isso não funciona. Tive que reinstalar o Windows no meu Dell Inspiron e quando fui restaurar o backup de recuperação, o mesmo não foi reconhecido. O mesmo ocorreu com um colega do serviço que tem um note HP. Uma lástima isso, mas a pura verdade.
Uma solução para o problema pode ser conseguindo um disco do Windows 7 com a mesma versão do seu computador (Home, Professional ou Ultimate, 32 ou 64 bits) e efetuar a instalação normalmente do sistema.
Depois da instalação, o sistema fica liberado por alguns dias (3 dias). Simplesmente use o script slmgr incluído no sistema. Esse script, chamado Ferramenta de Gerenciamento de Licença de Software do Windows, permite a troca da chave do produto.
Veja os procedimentos abaixo:
Acessar o menu Iniciar, selecionar "Todos os Programas", Acessórios e depois clicar com o botão direito em "Prompt de Comando". Vai aparecer um menu ao lado do cursor do mouse. Selecione "Rodar como Administrador".
Nesta janela, digite slmgr -upk para desinstalar a chave do DVD, slmgr -ipk 00000-00000-00000-00000-00000 para instalar a chave e depois slmgr -ato para ativar o seu Windows. (00000-00000-00000-00000-00000 deve ser substituído pela sua chave real)
Se quiser ver a data da validade, basta rodar o comando slmgr -xpr. Para reinstalar arquivos de licença, basta rodar o comando slmgr -rilc.
Pronto, o sistema já esta legal. Ficou melhor a forma como a Microsoft controla as licenças nesta versão. Não gosto muito do modelo de negócio da empresa, mas tenho que dar um ponto positivo a iniciativa.
Marcelo
O que fazer quando compramos um computador que vem com o sistema pré-instalado, mas não traz a mídia de instalação? Essa pergunta é muito comum hoje em dia, visto que a grande maioria dos desktops ou notebooks não vem com a mídia do Windows 7. Se contactamos as empresas que fabricam os computadores, elas dizem que devemos usar os procedimentos de recuperação do Windows que são incluídos nos sistemas. Eu particularmente posso dizer que isso não funciona. Tive que reinstalar o Windows no meu Dell Inspiron e quando fui restaurar o backup de recuperação, o mesmo não foi reconhecido. O mesmo ocorreu com um colega do serviço que tem um note HP. Uma lástima isso, mas a pura verdade.
Uma solução para o problema pode ser conseguindo um disco do Windows 7 com a mesma versão do seu computador (Home, Professional ou Ultimate, 32 ou 64 bits) e efetuar a instalação normalmente do sistema.
Depois da instalação, o sistema fica liberado por alguns dias (3 dias). Simplesmente use o script slmgr incluído no sistema. Esse script, chamado Ferramenta de Gerenciamento de Licença de Software do Windows, permite a troca da chave do produto.
Veja os procedimentos abaixo:
Acessar o menu Iniciar, selecionar "Todos os Programas", Acessórios e depois clicar com o botão direito em "Prompt de Comando". Vai aparecer um menu ao lado do cursor do mouse. Selecione "Rodar como Administrador".
Nesta janela, digite slmgr -upk para desinstalar a chave do DVD, slmgr -ipk 00000-00000-00000-00000-00000 para instalar a chave e depois slmgr -ato para ativar o seu Windows. (00000-00000-00000-00000-00000 deve ser substituído pela sua chave real)
Se quiser ver a data da validade, basta rodar o comando slmgr -xpr. Para reinstalar arquivos de licença, basta rodar o comando slmgr -rilc.
Pronto, o sistema já esta legal. Ficou melhor a forma como a Microsoft controla as licenças nesta versão. Não gosto muito do modelo de negócio da empresa, mas tenho que dar um ponto positivo a iniciativa.
Marcelo
quinta-feira, 2 de junho de 2011
ASUS anuncia Padfone, um smartphone que vira tablet
Interessante essa noticia. A ASUS, empresa taiwanesa, demonstrou na Computex2011 o padfone, um aparelho que combina um smartphone e um tablet. A idéia é unir forças e usar o que é de melhor de cada tecnologia.
O gadget é composto por duas partes: um smartphone e um tablet “burro”. Sozinho, o smartphone funciona como tantos outros já no mercado, mas pode ser inserido em uma “dock” na traseira do tablet. O usuário pode então acessar todos os recursos do smartphone através da tela grande do tablet. O tablet também inclui uma bateria integrada que o alimenta e pode recarregar a bateria do smartphone.
Vejam o vídeo de lançamento no youtube.
Marcelo
O gadget é composto por duas partes: um smartphone e um tablet “burro”. Sozinho, o smartphone funciona como tantos outros já no mercado, mas pode ser inserido em uma “dock” na traseira do tablet. O usuário pode então acessar todos os recursos do smartphone através da tela grande do tablet. O tablet também inclui uma bateria integrada que o alimenta e pode recarregar a bateria do smartphone.
Vejam o vídeo de lançamento no youtube.
Marcelo
Oracle doa código do OpenOffice.org para fundação Apache
A Oracle anunciou no dia 1/6 que doou o código fonte do OpenOffice.org para a Fundação Apache. Como o modelo da Apache possibilita a ampla colaboração de desenvolvedores aos seus produtos, espera-se que o OpenOffice continue firme e forte como opção viável aos programas Office da Microsoft.
Além deste programa, existe também o LibreOffice. Na prática, esse último é muito similar ao OpenOffice, pra não dizer que é igual. O LibreOffice é um "fork" do OpenOffice surgido com a finalidade de dar continuidade ao OpenOffice no período que este pertencia a Sun Microsystems e depois a Oracle. A intenção, ao criar o "fork", foi dar mais abertura ao projeto aceitando a contribuição da comunidade, uma vez que, nas mãos da Sun/Oracle, o projeto andava a passos lentos e quase não aceitando contribuições vindas de fora destas empresas.
Agora com a doação do código do OpenOffice a fundação Apache, esses problemas certamente cessarão e teremos duas excelentes opções de softwares "open-source".
Em tempo, os dois softwares funcionam em sistemas Windows e Linux sem perda de funcionalidade e podem ser baixados livremente da Internet.
Marcelo
Além deste programa, existe também o LibreOffice. Na prática, esse último é muito similar ao OpenOffice, pra não dizer que é igual. O LibreOffice é um "fork" do OpenOffice surgido com a finalidade de dar continuidade ao OpenOffice no período que este pertencia a Sun Microsystems e depois a Oracle. A intenção, ao criar o "fork", foi dar mais abertura ao projeto aceitando a contribuição da comunidade, uma vez que, nas mãos da Sun/Oracle, o projeto andava a passos lentos e quase não aceitando contribuições vindas de fora destas empresas.
Agora com a doação do código do OpenOffice a fundação Apache, esses problemas certamente cessarão e teremos duas excelentes opções de softwares "open-source".
Em tempo, os dois softwares funcionam em sistemas Windows e Linux sem perda de funcionalidade e podem ser baixados livremente da Internet.
Marcelo
Microsoft revela Windows 8
Foi revelado na última quarta-feira (1/6), durante a conferência D9, a próxima geração do sistema operacional Windows, chamado neste momento de Windows 8.
A empresa afirmou, em nota oficial, que a plataforma é uma releitura do Windows, “a partir do chip para a interface”, desenvolvida e otimizada para o toque. Isso indica bem que o novo sistema também será voltado para os tablets.
Segundo a companhia, o sistema operacional tem um rápido lançamento de aplicativos a partir de uma tela que pode substituir o menu Iniciar do Windows com uma exibição personalizada em tela cheia, além de ter capacidade para tirar e redimensionar um aplicativo para o lado da tela.
Os recursos do Windows continuarão disponíveis, incluindo o Windows Explorer e Desktop, que fará o processo de compatibilidade com todos os PCs Windows 7 e softwares.
Embora a nova interface do usuário seja projetada para o toque, ela funciona igualmente com um mouse e teclado.
Agora é esperar pra ver quando será o lançamento, mas muito provavelmente será em algum momento de 2012. Mais dinheiro a ser gasto pelos ávidos usuários.
Marcelo
A empresa afirmou, em nota oficial, que a plataforma é uma releitura do Windows, “a partir do chip para a interface”, desenvolvida e otimizada para o toque. Isso indica bem que o novo sistema também será voltado para os tablets.
Segundo a companhia, o sistema operacional tem um rápido lançamento de aplicativos a partir de uma tela que pode substituir o menu Iniciar do Windows com uma exibição personalizada em tela cheia, além de ter capacidade para tirar e redimensionar um aplicativo para o lado da tela.
Os recursos do Windows continuarão disponíveis, incluindo o Windows Explorer e Desktop, que fará o processo de compatibilidade com todos os PCs Windows 7 e softwares.
Embora a nova interface do usuário seja projetada para o toque, ela funciona igualmente com um mouse e teclado.
Agora é esperar pra ver quando será o lançamento, mas muito provavelmente será em algum momento de 2012. Mais dinheiro a ser gasto pelos ávidos usuários.
Marcelo
Centenas de contas do Gmail são invadidas por hackers
Segundo pudemos verificar, o foco dos ataques foram em caixas de e-mail de oficiais do governo norte-americano, ativistas e jornalistas.
O Google anunciou nesta semana ter identificado um ataque de hackers massivo a contas do Gmail. Conforme a companhia, a invasão aparenta ter sido originária na China e tinha como estratégia avisar usuários que o serviço de e-mail levaria alguns minutos para revisar suas funcionalidades de segurança.
O diretor de engenharia da companhia, Eric Grosse, informou em um post no blog oficial da empresa que centenas de usuários foram afetados, incluindo oficiais do governo norte-americano, ativistas políticos chineses, oficiais de diversos países asiáticos e jornalistas. “ O foco da ação foi monitorar o conteúdo de e-mails desses usuários, com os invasores utilizando senhas roubadas para modificar encaminhamentos e configurações”, disse Grossed.
Mudando essas configurações – cuja verificação fica clara apenas na página especifica de settings do Gmail – os criminosos conseguiram gerar cópias de e-mails que chegavam e saíam da caixa, como forma de direcioná-los para outros endereços sem que o dono da conta soubesse. Não foram dados detalhes sobre quem estaria por trás do ataque.
O anúncio indica que hackers estão em um forte processo de demonstração de poder. Foi nesta mesma semana que a Sony informou o completo restabelecimento de suas redes de jogos online, após um mês de tentativa de proteger dados de usuários, também roubados por falhas de segurança.
O Google anunciou nesta semana ter identificado um ataque de hackers massivo a contas do Gmail. Conforme a companhia, a invasão aparenta ter sido originária na China e tinha como estratégia avisar usuários que o serviço de e-mail levaria alguns minutos para revisar suas funcionalidades de segurança.
O diretor de engenharia da companhia, Eric Grosse, informou em um post no blog oficial da empresa que centenas de usuários foram afetados, incluindo oficiais do governo norte-americano, ativistas políticos chineses, oficiais de diversos países asiáticos e jornalistas. “ O foco da ação foi monitorar o conteúdo de e-mails desses usuários, com os invasores utilizando senhas roubadas para modificar encaminhamentos e configurações”, disse Grossed.
Mudando essas configurações – cuja verificação fica clara apenas na página especifica de settings do Gmail – os criminosos conseguiram gerar cópias de e-mails que chegavam e saíam da caixa, como forma de direcioná-los para outros endereços sem que o dono da conta soubesse. Não foram dados detalhes sobre quem estaria por trás do ataque.
O anúncio indica que hackers estão em um forte processo de demonstração de poder. Foi nesta mesma semana que a Sony informou o completo restabelecimento de suas redes de jogos online, após um mês de tentativa de proteger dados de usuários, também roubados por falhas de segurança.
Assinar:
Postagens (Atom)