Archive for the ‘Segurança da Informação’ Category

Brasil discute na ISO normas para criação de prontuário eletrônico de saúde

quinta-feira, 20 - setembro - 2007

O Comitê de Informática em Saúde da Organização Internacional de Padronização (ISO), do qual o Brasil é membro participante, com direito a voto, se reuniu para discutir a conformidade de normas internacionais que definam a interoperabilidade entre sistemas e informações na área da saúde. Também entrou na pauta de discussões o estabelecimento de normas para definir o que é e como criar um prontuário eletrônico de saúde pessoal. O objetivo do projeto é padronizar o prontuário para que as informações possam ser compartilhadas e o atendimento médico se torne mais ágil.

O encontro, realizado na Austrália, é conseqüência das demandas geradas pelo fenômeno da globalização e o surgimento de novos negócios na área da saúde, como o e-health. Para Paulo Lopes, do Departamento de Informática em Saúde da Universidade Federal de São Paulo (Unifesp), que fez parte da delegação brasileira como coordenador do Grupo de Trabalho de Comunicações, Equipamentos e Interoperabilidade da Comissão Especial de Estudos em Informática em Saúde da Associação Brasileira de Normas Técnicas, um sistema de prontuário eletrônico de saúde pessoal permitirá a uma pessoa gerenciar suas próprias informações e de membros da sua família sobre sua saúde e bem-estar.

De acordo com Lopes, caso a pessoa necessite de atendimento médico de emergência em uma cirurgia ou em um acidente estarão disponíveis as informações básicas, como histórico familiar, cirurgias anteriores, vacinas e alergia a medicamentos, entre outros. “Como o prontuário é propriedade do paciente, deve estar disponível sempre que necessário, a qualquer hora, em qualquer lugar”, enfatiza.

Parece muito bom, agilizaria muita coisa, concordo… mas me surgiu uma pequena dúvida, e se esses prontuários caírem sobre mãos erradas? Primeiro, acho que seria uma grande ajuda para os spammers, segundo, será que empresas contratariam pessoas com histórico de câncer na família? Ou ainda, quais seriam as chances de uma recém-gestante conseguir um emprego? Ou pirando mais ainda, quais as chances de uma mulher, recém-casada, na época do alarmezinho (período em que os hormônios femininos “pedem” para engravidar… não sei explicar melhor, mas que existe existe), conseguir um emprego?

Acho que muita coisa deva ser pensada antes de implementar uma norma dessas.

Fonte: Modulo Security

Vão bloquear minha conta do orkut! E agora!?

sexta-feira, 14 - setembro - 2007

Olá pessoas… hoje na coluna de Segurança da Informação, venho falar de um assunto, no mínimo, peculiar, spams!

 

Vamos começar do começo, o que é um spam?

 

Spam é uma mensagem eletrônica não-solicitada enviada em massa.
Na sua forma mais popular, um spam consiste numa mensagem de correio eletrônico com fins publicitários. O termo spam, no entanto, pode ser aplicado a mensagens enviadas por outros meios e noutras situações até modestas. Geralmente os spams têm caráter apelativo e na grande maioria das vezes são incômodos e inconvenientes. (Wikipedia)

O que leva uma pessoa a enviar spams? A resposta é simples, pense que você esteja vendendo um produto, sua empresa não tem marca conhecida, e alguns poucos clientes; agora pensa que você tem a oportunidade de poder fazer propaganda a um custo praticamente irrisório e que possivelmente iria atinjir alguém, por menor que seja a parcela (tecnicamente as pesquisas dizem que apenas 0,005% das pessoas respondem da forma que o spammer deseja)… interessante, não seria? poder propagandear a um preço irrisório… aí você me pergunta, por que marcas como Intel, Microsoft, dentre outras gigantes do mercado também não fazem isso? A resposta também é simples… imagine agora que você é o feliz proprietário de uma destas gigantes do mercado, te pergunto: você gosta de receber spams? Ou você fica um pouquinho estressado ao ver que 90% dos e-mails que você recebe são spams? Não seria nada interessante que os seus milhões de clientes se estressassem com a sua empresa, não é?!

 

Agora vamos classificar os spams, eles podem ser apenas boatos, como por exemplo o falecimento do jeremias josé (uuucão botô pra nóis bebe), que nada mais são do que intrigas inofensivas; também pode ser correntes, como aquela que se você não enviar o e-mail para 200 outras pessoas da sua lista senão você nunca mais vai arranjar namorada/o; ou ainda simples propagandas, como alguém vendendo pentes para pentear macaco; atá aqui nada de mais, são apenas mensagens inofensivas, chatas, mas inofensivas… o problema é quando começam a usar este artifício para o mal, com golpes por exemplo, que no mundo informático é conhecido como “scam”… o mais conhecido scam é o “419”, devido ao número do código criminal nigeriano ao qual o caso se aplica… o 419 é aquele em que uma pessoa, se passando por nigeriana, diz que por questões políticas e pessoais deseja enviar uma quantidade significante de dinheiro para você, desde que você pague uma certa taxa de garantia! Idiota né?! mas infelizmente muita gente caiu nessa… um dos grandes problemas que a informática, principalmente a internet, sofre atualmente é o fato das pessoas pensarem que a informática é um mundo pararelo, totalmente diferente do mundo real… concordo, mas não totalmente… o maior benefício da internet foi ela ter acabado com as distâncias; pense um pouco, qual a diferença entre uma carta de correio convencional e o e-mail? Exatamente! A distância… mas concorda que é basicamente a mesma coisa, não é? (não estou entrando em méritos técnicos)… aí você diz, mas isso é óbvio… sim, claro que é… vamos pensar nos crimes agora, qual a diferença entre invadir um banco físico com bombas e etc. e invadir um banco virtual com uma senha roubada? … sacou? o dinheiro é o mesmo! A diferença que no virtual são apenas números na sua frente … aqui agente entra no estelionato, ou phishing como é conhecido na informática; que são até os mais comuns, é aquele e-mail chatinho dizendo que sua conta no Banco do Brasil vai ser bloqueada devido à um monte de coisa, aí te dá um link para você entrar na página, geralmente uma página praticamente idêntica à oficial do banco, nessa tela o estelionaotário pede, dentre muitas outras informações, sua senha eletrônica de acesso ao banco, exemplo na imagem abaixo:

 

(atenção para o link ao qual o navegador irá no canto inferior esquerdo…nada a ver com banco do brasil né?!)

 

(clique para ampliar)

 

 

 

depois que você entrou no link, enviou a sua senha para o estelionatário, o que você vai fazer? Bom, senta e chora… depois de chorar muito, você entra em contato com seu banco que, dependendo do caso, eles podem te ressarcir… mas concorda que seria a mesma coisa que se alguém lhe abordasse na rua, dizendo que trabalha no BB e que está atrás de você por que sua conta será bloqueada, aí você na maior boa vontade dá teu cartão e tua senha para o cara!?!

 

Enfim, o importante é você, caro leitor, compreender que crime é sempre crime… seja no mundo físico, seja no mundo virtual… crime e crime virtual são a mesma coisa, tanto que têm o mesmo nome: crime!

 

Uma outra forma de spam pode atuar de forma semelhante ao phishing sem você ter a menor idéia de estar sendo roubado, que é através do envio de programas maliciosos… a forma de agir é a mesma (até foi por isso que resolvi criar este post, recebi um destes hoje de manhã) do phishing, é enviado para você um e-mail dizendo que sua conta de alguma coisa vai ser bloqueada, orkut por exemplo, e que você precisa ir ao site o mais rápido possível ou vão jogar uma bomba na sua cabeça, quando você entra no site, automaticamente lhe é enviado um programa ou algum arquivo para que ou você execute ou no pior dos casos é executado automaticamente… imagens do e-mail que me enviaram hoje:

 

(clique para ampliar)

esta primeira é o e-mail em si, repare os 3 pontos em destaque… a seta fechada é o link que o remetente do e-mail te diz para entrar, a seta aberta é o link ao qual você será redirecionado (http://doiop.com/… nada a ver com orkut não é?!) e por fim, a caixa é o remetente, aí você me acusa: “alá ó! foi o pessoal do yorgut que enviou mesmo!”…já explico melhor esta caixa…

 

(clique para ampliar)

isto é o que vai acontecer se você clicar no link… como pode reparar, é um arquivo com extensão SRC, que para o Windows é a extensão de Screensaver… aparentemente inofensível, mas provavelmente é um cavalo de tróia ou algo do gênero… ATENÇÃO! não faça isso que fiz, entrei no link apenas para fins didáticos; NUNCA, repito NUNCA, denovo NUNCA nem sequer abra um e-mail destes; NUNCA que o orkut vai te mandar um e-mail destes, avisando que vão bloquear a sua conta…eles simplesmente vão bloqueá-la sem dar a menor satisfação (e você aceitou isso quando aderiu e concordou com o termo de serviço do Orkut).

 

Bom, sempre o que vale é o bom senso… assim como você acharia estranho alguém te abordar na rua te pedindo seu cartão do banco e senha, ache estranho também alguém fazer a mesma coisa por e-mail… SEMPRE leia os contratos que você assina! SEMPRE leia os contratos de privacidade que você assina! São nestes contratos que estarão especificados o que pode e o que não pode… e é geralmente nestes contratos que terá uma cláusula dizendo que a empresa NUNCA lhe enviará um e-mail te pedindo informações ou qualquer coisa assim…

 

Claro que nem sempre vão vir e-mails que facilmente você irá identificar como sendo spams, às vezes virão e-mails intimidadores e assustadores, um exemplo destes é este que recebi há um tempo atrás:

 

(clique para ampliar)

Repare novamente nas setas e caixa vermelha… outra coisa que destaquei neste phishing é a caixa azul, intimidador não acha? Vendo assim parece bobeira, mas na hora que você se depara com um e-mail desses já bate aquela: “Putz! Por que entrei naquele maldito site!!!”…. outro conselho, NUNCA tome decisões preciptadas! Sempre pare para pensar… vamos pensar juntos sobre este e-mail… primeiro, olhe o link de destino (seta aberta)… nada a ver com Polícia Federal… segundo, como a Polícia Federal conseguiu meu e-mail??? Telepatia???… terceiro, você REALMENTE acha que a PF iria te mandar um e-mail avisando que eles vão te pegar??? É óbvio que não! Muito provavelmente iria aparecer um policial na sua porta te entregando uma intimação!!!

 

Faltou explicar uma coisa… mas alá ó, tá escrito que foi o pessoal do yorgut que mandou… bom, a explicação também é fácil… quando você vai colocar uma carta naquela caixinha amarela dos correios, você precisa entregar uma cópia registrada e autentica do seu RG? Claro que não né?! Logo, você pode mandar uma carta para alguma pessoa se passando por qualquer coisa, por exemplo, eu Marcelo te mando uma carta me fazendo passar por Homer Simpson… e-mail, mesma coisa… o que importa é o destinatário, o remetente tanto faz… não vou entrar em méritos técnicos também

 

Bom, conselhos finais… NUNCA! NUNCA! NUNCA! abra e-mails e principalmente anexos que você não sabe quem enviou… NUNCA entre em pânico, procure orientação de alguém especializado se for o caso… e… vamos ver, use filtro solar!!! e tome bastante água!!!

 

Por fim, se tiver alguma dúvida ou apenas se quiser encher o saco, o e-mail é: blogdropsmail@gmail.com

Fujitsu lança scanner de veias da palma da mão

quarta-feira, 12 - setembro - 2007

A Fujitsu está se voltado ao ambiente corporativo com novas versões do seu scanner biométrico de veias da mão para acesso a computadores corporativos.

O sistema, que oferece níveis de segurança maiores que pela impressão digital ou íris, foi integrado em um mouse USB, com o scanner sincronizado com o software de autenticação do PC para que a identificação seja feita sem precisar de um servidor de autenticação.

O sistema de reconhecimento de veias envia um feixe de raios infravermelhos à palma da mão do usuário, identificando um padrão que é batido contra um banco de dados como meio de verificação.

O sistema leva em conta o número, posicionamento e ponto onde veias se encontram.

 Fonte: PC World

A sombra dos “cyberpedófilos”

quarta-feira, 05 - setembro - 2007

A pornografia infantil é a sombra que paira sobre o dia-a-dia digital de crianças e adolescentes, revelando a existência de pessoas mal-intencionadas, os “cyberpedófilos”, e da íntima relação que nossos filhos desenvolvem com os conteúdos proibidos, em grande parte expostos na Internet sem censura.O Ibope/NetRacings constatou que, em fevereiro deste ano, 1,3 milhão de brasileiros de 6 a 11 anos acessaram a Internet. A média de permanência dessas crianças na Rede foi de 9 horas e 53 minutos. Adolescentes entre 12 e 17 anos, 2,4 milhões do total, permaneceram 38 horas e 17 minutos. Isso quer dizer que, enquanto você lê este artigo, milhares de jovens estão ligando o computador para jogar, trocar mensagens instantâneas, acessar fotoblogs e o Orkut, que abriga inúmeras comunidades pedófilas.Em nossa cultura, a preferência sexual por crianças é considerada uma desordem psicológica. A prática da pedofilia é qualificada como crime de Internet e pode ser considerado um ataque de Engenharia Social. A escolha/aproximação de um alvo escolhido, a aclimatação e a conquista da confiança e o desenvolvimento da cumplicidade são algumas práticas características deste tipo de ataque. O perfil do pedófilo é de um sujeito que gosta de contar história, tem paciência e adora se tornar importante na vida das crianças, o que o torna muito perigoso. Tudo pode acontecer: desde a revelação de informações pessoais ao fornecimento de senha para receber uma foto que traz um programa executável que aciona a webcam, e que passará a captar imagens do adolescente na intimidade do seu quarto sem que ele perceba. Assim, o adolescente fica na mão do pedófilo, que passa utilizar de métodos de coação para atingir seus objetivos.O repasse entre amigos, de imagens de sexo com crianças, é crime previsto no Estatuto da Criança e do Adolescente com pena de até quatro anos de exclusão. Muitas crianças fazem uso do material para satisfazer sua curiosidade, sem saber que essa atitude apresenta riscos. O uso do anonimato dos internautas e a velocidade das informações maximizam esses riscos e transformam a Internet em um paraíso da pedofilia. As leis de crimes da Internet ainda são brandas e parece que a sombra da impunidade paira sobre os atos praticados pelos inúmeros “cyberpedófílos”. Como não há lei que obrigue provedores a abrir o cadastro de clientes, os policiais federais que investigam casos de pedofilias afirmam que procurar um pedófilo na Internet é como procurar agulha no palheiro. A identificação de um computador na Rede é difícil, pois pode mudar no momento em que o computador é ligado.

É importante que os pais tenham ciência de que a pornografia infantil e os pedófilos existem e, assim, deverão ser tratados sem preconceito. Enxergar que a Internet está vulnerável a estas ameaças, e seus filhos aos riscos, também faz parte desse processo e os pais devem participar ativamente da orientação dessas crianças. “Os pais não devem escandalizar nem adotar punições”, adverte Oswaldo Rodrigues Jr., presidente da Sociedade Brasileira de Estudos em Sexualidade Humana. Os adolescentes são ágeis para lidar com a informática e, quando privados de navegarem por conteúdos proibidos, acabam por despertar ainda mais suas curiosidades e são capazes de burlar filtros ou proteções implantadas, ou passam a usar o computador de amigos.

Existem muitos sites que buscam auxiliar os pais na proteção de seus filhos contra essas ameaças. Cartilhas com orientações sobre segurança da computação e ética somadas às práticas como: deixar a webcam virada para a parede, instalar o computador em área da casa onde a família circule e ainda observar com quem as crianças conversam online podem ser ferramentas poderosas no combate à pedofilia. A conscientização e orientação continuam sendo as melhores condutas na utilização dos recursos e informações disponíveis na rede mundial de computadores.

Bom, eu, como futuro especialista na área , sempre recomendo a conversa, há pouco vi uma reportagem no Jornal Hoje sobre isso, até por isso resolvi postar sobre, onde mostrava como uma mãe lidava com esse assunto tão delicado, polêmico e perigoso; basicamente o que ela faz é conversar, nada de proibições, como diz a matéria, “navegarem por conteúdos proibidos, acabam por despertar ainda mais suas curiosidades e são capazes de burlar filtros ou proteções implantadas”, isto é, a mesma coisa que você chegar para uma criança e dizer para ela não comer aquela barra de chocolate, portanto, a saída não é simplesmente falar que está errado e não pode, devemos mostrar os riscos e os “por ques”, como disse há pouco, este assunto é bem mais perigoso do que parece, a internet atualmente está ainda num momento muito delicado e fragilizado.

Enfim, a orientação é sempre o melhor caminho; não estou querendo ensinar nenhum pai ou nenhuma mãe como deve criar seus filhos, mas o fato é que esses perigos estão àpenas alguns cliques, e devemos estar atentos, repito novamente, é muito mais perigoso do que parece!

Fonte: Modulo Security

Número de ataques online a bancos sobe 81%

quinta-feira, 23 - agosto - 2007

O número de hackers do lado negro da força que atacam bancos em todo o mundo subiu 81% em relação ao ano passado, de acordo com números publicados na conferência de segurança BlackHat. Pesquisadores da SecureWorks, empresa de segurança que forneceu os dados, também afirma que a quantidade de ataques contra cooperativas de crédito aumentou 62% em comparação a 2006.
A questão é: por que o número de hackers aumentou tanto? Joe Stewart, pesquisador-sênior de segurança da SecureWorks, explica que os hackers mais técnicos e experientes não são os únicos em ação. Os hackers não precisam mais ser especialistas para configurar uma operação de roubo de informações bancárias. Os kits de ferramentas de ataques e malware estão à venda no mercado negro online. Tudo o que os hackers precisam são conhecimentos técnicos básicos e saber onde precisam ir para comprar o que não podem construir sozinhos.
Segundo Stewart, os preços dos pacotes de ferramentas variam de US$ 100 a muitas centenas de dólares. Esta facilidade de uso fica evidente com números. A SecureWorks reportou que, entre junho e dezembro de 2006, bloqueou ataques de cerca de 808 hackers por banco, por mês.
Desde o começo deste ano até junho, houve uma média de 1,462 hackers lançando ataques a cada banco cliente da empresa. A SecureWorks afirma que bloqueou ataques de 1,110 hackers por cooperativa de crédito por mês no segundo semestre de 2006. O número subiu para 1,799 este ano.
“A quantidade de dados financeiros roubados que encontramos desde o começo do ano é assombrosa”, diz Don Jackson, pesquisador de segurança da SecureWorks. “Com os trojans Gozi, Prg e BBB, descobrimos milhões de dólares em dados roubados. Estes dados armazenados continham milhares de números de contas bancárias e cartões de crédito, contas de pagamento online, nomes de usuários e senhas, e estamos descobrindo novos caches de dados roubados a cada dia – evidência de que cada vez mais criminosos estão entrando no jogo”.

 Fonte: Modulo Security