Blog do Márcio d’Ávila

Trend Micro Internet Security GRÁTIS por 1 ano!

Confira no artigo de Jhonny Costa, postado no blog Guia do Windows em 2010-02-27, como conseguir o programa gratuitamente.

As fraudes, às vezes, tem aparência realista. Esta que recebi recentemente manteve texto e formatação verossímeis tanto no e-mail quanto na página web apontada pelo link da mensagem. Além disso, ainda conseguiram registrar um domínio com nome convincente. A fraude usa como tema a promoção Surpreenda MasterCard, e para a fraude registraram o domínio supreendo.com.

Então, qual indício deve deixar o usuário recebedor desconfiado e alerta, a ponto de reconhecer a fraude e não seguir em frente? O excesso de informações pessoais sigilosas solicitadas. Neste caso: nome completo, CPF, e todos os dados do cartão de crédito (número, validade e código de segurança).

Basta raciocinar o seguinte: só com estes três dados do cartão, alguém consegue hoje em dia fazer qualquer compra on-line ou por telefone. E ainda com seu nome completo e — principalmente — CPF, pode criar um cadastro falso (e válido!) em lojas (físicas e virtuais), financeiras e sabe-se lá onde e para que mais.

De fato, todas vez que lhe solicitarem este tipo de informações pessoais sigilosas, seja em que situação for (inclusive fora da internet, pessoalmente ou em um telefonema), pense e confirme cuidadosamente se você confia, acredita e tem segurança integral em quem está solicitando e para que está solicitando, pois são informações das mais valiosas e sensíveis que uma pessoa pode possuir nos dias atuais.

Minha recomendação permance: na Internet, desconfie e tenha cuidado sempre! Infelizmente, pode existir maldade e más intenções em todo lugar.

Veja as imagens (inócuas, são meras reproduções visuais da fraude, sem os links maliciosos) da mensagem de e-mail e da página web:

Os serviços colaborativos de segurança web no combate à fraude PhishTank e WOT classificaram esta página como fraude, de acordo com a avaliação de vários usuários.

A seguir, dados técnicos e administrativos publicados no registro do domínio. Note que mensagem foi enviada em 16 de fevereiro, e o domínio criado poucos dias antes, dia 10.

WHOIS information for surpreendo.com :

[Querying whois.verisign-grs.com]
[whois.verisign-grs.com]

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

   Domain Name: SURPREENDO.COM
   Registrar: UNIVERSO ONLINE LTDA
   Whois Server: whois.host.uol.com.br
   Referral URL: http://registrar.host.uol.com.br
   Name Server: NS1.DOMINIOS.UOL.COM.BR
   Name Server: NS2.DOMINIOS.UOL.COM.BR
   Name Server: NS3.DOMINIOS.UOL.COM.BR
   Status: clientTransferProhibited
   Updated Date: 10-feb-2010
   Creation Date: 10-feb-2010
   Expiration Date: 10-feb-2011

Registrant/Administrative Contact/Technical Contact:
   Name:                GLADYS CRISTINA PERFEITO SAMPAIO
   Organization:        GLADYS CRISTINA PERFEITO SAMPAIO
   E-mail:              surpreend@uol.com.br
   Address:             RUA CAIABU 204 Casa
   Address:             21361230
   Address:             RIO DE JANEIRO - RJ
   Phone:               55 21 33510984
   Country:             BRASIL
   Created:             2010-02-10
   Updated:             2010-02-10

Há pouco mais de um mês, outra fraude usando a marca MasterCard como tema também circulou na internet. A fraude alegava um recadastramento e levava a um site que também foi registrado com um domínio convincente: mastercardbrasil.com.

Até o momento deste artigo, o endereço continuava ativo, embora felizmente os serviços de combate a fraudes já o tem cadastrado, de forma que tanto o recurso de proteção/notificação contra fraudes nativo do Firefox quanto o serviço WOT alertam para o endereço fraudulento.

Veja a seguir as imagens da fraude.

Observe, no texto da mensagem, certo descuido com a redação, indício comum a muitas fraudes. Vários erros de pontuação, acentuação (fráude, indesejaveis, usuarios), uso de maiúscula no meio da frase (… combate Contra qualquer …) etc. Dificilmente uma mensagem legítima, elaborada por profissionais de marketing, deixaria passar esse tipo de descuido, pois isso poderia prejudicar a boa imagem da marca.

No endereço web de destino, observe que são exibidos apenas os alertas sobrepostos do Firefox e do WOT, em lugar da página fraudulenta.

Por fim, apresento a imagem de uma mensagem legítima da promoção “Programa Surpreenda Mastercard”, para que o leitor compare as semelhanças e diferenças com as fraudes anteriormente apresentadas aqui.

Para saber mais:

• Artigo com centenas de exemplos e informações: Phishing Scam - A fraude inunda o correio eletrônico.
• Referências sobre o assunto, em Márcio’s Hyperlink: Segurança - Malware - Fraude.

O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.

Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):

“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”

Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).

A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai – na noite de 10 de novembro.

Teoria da conspiração

Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.

A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.

Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.

A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.

Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.

Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.

Relatórios de tendências

Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.

Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).

De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.

Segurança

No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.

Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.

Para se ter uma simples ideia, já existe, há um bom tempo:

• Normas, em especial a família de normas NBR ISO/IEC 27000 sobre gestão e melhores práticas em segurança da informação e gestão de riscos, e a norma (disponível gratuitamente) ISO/IEC 15408 - Common Criteria (CC) de critérios para avaliação de segurança de sistemas de tecnologia da informação (TI).
• Manuais de metodologia para testes e análises de segurança, como o Open Source Security Testing Methodology Manual (OSSTMM), criado por Pete Herzog e provido pelo ISECOM, o Instituto para Segurança e Metodologias Abertas, sem fins lucrativos.
• Cursos, como o brasileiro Hackers Expostos: Técnicas de intrusão em redes corporativas, ministrado por Filipe Balestra na empresa 4Linux.
• Serviços, como os de análise de segurança e testes de invasão oferecidos pela empresa brasileira Módulo Security.
• Informação e ferramentas aos montes, em maior parte disponível de forma pública e aberta na Internet. Um exemplo: Vinte Controles Críticos para Efetiva Cyber Defesa: Consenso de Auditoria e Guidelines, trabalho desenvolvido pela colaboração de diversos experts em segurança, atualizado pelo Center for Strategic and International Studies em 2009-08-10.

O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.

O Gartner publicou em 12 de agosto de 2009 o relatório de análise Quadrante Mágico para Plataformas de Governança Corporativa, Risco e Conformidade (E-GRC), por French Caldwell, Tom Eid e Carsten Casper.

Os fornecedores OpenPages, BWise e Thomson Reuters se destacam no quadrante líder, onde também está a Oracle, com mais completude de visão porém menos habilidade de executar que os outros três. A MetricStream aparece no limiar de entrada no quadrante líder.

Fonte: Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms, redistribuído por Oracle.

Para contextualizar e compreender este Quadrante Mágico, é Importante ressaltar os aspectos abordados nas seções iniciais do relatório — de introdução e de visão geral e definição/descrição do mercado:

Os líderes provaram funcionalidades em GRC nas quatro funções primárias do GRCM (GRC management: gerenciamento de GRC) — gerenciamento de auditoria, gerenciamento de conformidade, gerenciamento de riscos e gerenciamento de políticas (policy).

GRCM é definido como a automação do gerenciamento, medição, resolução e relatório de controles e riscos em relação ao objetivos, de acordo com regras, regulamentação, padrões e políticas.

Muitas corporações tipicamente consideram uma aplicação de GRCM para satisfazer um requerimento específico, como conformidade com Sarbanes-Oxley, uma regulamentação específica de seu segmento ou o gerenciamento do risco operacional para um processo de negócio. Entretanto, instituições frequentemente tem outras atividades de GRCM em mente, como gerenciamento de auditoria, regulamentação adicional, governança de TI, gerenciamento de resolução (remediation) e gerenciamento de políticas/normas (policy), o que eventualmente pode ser integrado a uma abordagem mais consolidada de EGRC.

“Governança”, “gerenciamento de riscos” e “conformidade” são termos gerais que podem ser aplicados a uma vasta faixa de produtos, iniciativas de TI e requisitos de negócio. Estes três termos tem muitos definições válidas entre a base de clientes do Gartner. As definições a seguir ilustram o relacionamento entre os três termos:

• Governança — O processo pelo qual políticas/normas (policies) são definidas e a tomada de decisão é executada.
• Gerenciamento de Riscos – O processo para tratar riscos com um balanceamento de mitigação através da aplicação de controles, transferência através de seguro e aceitação através de mecanismos de governança.
• Conformidade — O processo de aderência às políticas/normas e decisões. Políticas/normas podem ser derivadas de diretivas internas, procedimentos e requisitos, ou de leis, regulamentação, padrões e acordos externos.

Para uma caracterização mais abrangente desse mercado, o relatório recomenda os artigos: “A Comparison Model for the GRC Marketplace, 2008 to 2010” (2008-07-01) e “The Enterprise Governance , Risk and Compliance Platform Defined” (2008-02-19).

Também aguardo pelo Quadrante Mágico do Gartner para 2009 atualizando o mercado de Gestão de Conteúdo Corporativo (ECM), que deve ser publicado a qualquer momento neste terceiro trimestre. O relatório anterior foi lançado em 23 de setembro de 2008.

Depois do WGA - Windows Genuine Advantage, o esforço da Microsoft para reduzir a pirataria do Windows, chega agora ao Brasil o OGA, Office Genuine Advantage para combater a pirataria do Microsoft Office.

Como sempre, sutilmente introduzido através das Atualizações Automáticas do Windows (Windows Update), o Notificador do Programa de Vantagens do Office Original da Microsoft é um utilitário que, se o usuário aceita instalar, não oferece recurso para ser desinstalado ou desativado posteriormente.

Se detecta uma cópia não original de um programa do Office (XP, 2003 ou 2007), o Notificador OGA passa a gerar uma série insistente de notificações com mensagens de programa não original:

• Na inicialização de uma cópia do Office não original, exibe uma janela de mensagem e mantém um ícone na área de notificação do Windows;
• Adiciona uma barra de ferramentas aos programas do Office não original, que exibe mensagem de notificação;
• Para programas do Office 2007 pirata, adiciona também uma faixa (ribbon) com mensagem de notificação.

Imagem: Reprodução do Windows Update para Notificador OGA.

Veja transcrição dos termos de uso do Notificador OGA [TXT]. Você aceita?

Expansão

Conforme anúncio do Gerente Geral Microsoft para a Iniciativa de Software Genuíno (o programa anti-pirataria da Microsoft) em final de agosto, as Notificações OGA foram primeiro veiculadas como a atualização KB949810 para usuários do Office em quatro países — Itália, Espanha, Turquia e Chile — como um pequeno programa piloto, e não trouxe muitas reclamações, exceto quando o serviço de administração corporativa do Windows WSUS (Windows Server Update Services) acidentalmente publicou o notificador como atualização crítica durante 24 horas.

Assim, a Microsoft está gradativamente expandindo o OGA para mais países. A validação e notificações de Office Genuíno está sendo agora expandida para mais 13 países, que incluem Estados Unidos, Reino Unido, Peru, Porto Rico, Brasil, Austrália, Grécia, Irlanda, Países Baixos, Finlândia, Suíça, Índia, Taiwan e outros, chegando a um total de 41 países ainda este mês.

Com a expansão do programa, já há relatos de casos de incômodos ou problemas, principalmente em redes corporativas, de usuários legítimos de cópias originais do Office. Por isso, alguns especialistas recomendam que a instalação não seja feita e/ou que administradores de redes corporativas desabilitem a distribuição e instalação do OGA através do WSUS.

OpenOffice / BrOffice.org

Quem tiver uma cópia ilegítima (não original, pirata) do Microsoft Office, e quiser evitar todo esse incômodo, não perca mais tempo e faça como eu já fiz há muito tempo: adote o BrOffice.org (OpenOffice em português do Brasil) 3.1.1.

Gratuito, livre (software de código aberto e de livre distribuição) e cada vez mais completo e bem acabado, o OpenOffice/BrOffice.org inclui editores de documentos texto, planilhas, apresentações e bases de dados, e ainda um bom programa editor de desenhos e ilustrações (estilo CorelDraw) e um editor de fórmulas matemáticas e científicas.

O OpenOffice é totalmente compatível com os formatos de documento do Microsoft Office (Word, Excel, PowerPoint), inclusive os novos formatos do Office 2007. Mas oferece seu próprio formato nativo de documentos OpenDocument (ODF) que é completo e compacto, além de ser um padrão conciso e realmente aberto, norma internacional ISO. O OpenOffice ainda exporta nativamente documentos para o formato PDF.

O editor de textos (Writer) e de planilhas (Calc) do BrOffice são muito completos e robustos, oferecendo todos os recursos dos simples aos mais avançados encontrados no Word e no Excel.

O editor de apresentações (Impress) ainda não é tão inteligente como as facilidades de formatação automática do PowerPoint, mas atende bem e, espero, tende a melhorar ainda mais no futuro. Quanto ao banco de dados (Base), confesso que ainda não utilizo e por isso não tenho como opinar.

O único recurso que, creio, ainda pode melhorar compatibilidade é a linguagem de macros. O OpenOffice/BrOffice.org possui o recurso de macros, que podem ser programadas em BROffice Basic, Python, JavaScript ou BeanShell, mas a compatibilidade com o VBA (Visual Basic for Applications) do Microsoft Office ainda não é plena, principalmente porque esta última está intimamente integrada à própria API do Windows, o que obviamente traz dificuldades para programas independentes e multiplataforma como o OpenOffice.

Para quem não abre mão do Microsoft Office de jeito nenhum, saiba que você consegue comprar o Office Home and Student 2007 (Word, Excel, PowerPoint) com licença para instalar em três computadores por aproximadamente 150 reais. Nos Estados Unidos essa edição custa perto de 88 dólares.

Convenhamos, 50 reais por cópia doméstica instalada não serve mais de desculpa para pirataria, para aqueles radicais que ainda se remetem aos tempos em que ter um Microsoft Office original em casa custava quase mil reais. Já nas empresas, onde a licença Home Student não serve, o caminho econômico viável é o BrOffice.org mesmo.

Para saber mais

• Artigo da Base de Conhecimento Microsoft nº KB949810: Descrição do aplicativo Office Genuine Advantage Notifications (tradução automática, original em inglês).
• Office Team Steps Up Efforts to Protect Customers from Pirated Software (em inglês), por Keith Beeman, General Manager, Microsoft Genuine Software Initiative, 2009-08-25, no blog Microsoft On The Issues.
• Disable “Get Genuine Office”, Microsoft Nagging OGA (KB949810) (em inglês), em Squidoo.
• Office Genuine Advantage Notifications (OGA KB949810) v2.0.48.0 Released To More Markets (em inglês), no blog My Digital Life, 2009-08-27.
• Office Genuine Advantage, verbete na Wikipedia em inglês.