Segurança – Página: 2 – Blog do Márcio d'Ávila

Anatomia de mais uma fraude: Santander

1 de julho de 2011

23:58

4 comentários em Anatomia de mais uma fraude: Santander

Veja a mensagem de e-mail spam que tenta “pescar” usuários otários para a fraude de formulário, caso ele clique no link contido na mensagem.

[photopress:fraude_santander_spam.png,full,centered]

Indícios típicos de fraude: Além dos mesmos indícios que apontei no artigo de ontem — impessoalidade (não cita o nome do cliente), tema suspeito (atualização ou recadastramento de segurança feito pela internet), link destino suspeito (não aponta para o site principal do banco) — vou comentar uma prática de segurança que tem sido adodata pelos bancos. Como um link em uma mesagem de spam — como este — tem sido o gatilho mais comum para levar a fraudes, os bancos que enviam e-mails legítimos ao cliente tem evitado incluir links na mensagem. Às vezes informam o endereço que deve ser acessado, mas instruem o próprio usuário a digitar o endereço no navegador. Eliminam a praticidade do link em prol da segurança.

O endereço contido no link fraudulento da mensagem de e-mail — clcmaquinaria.es — não tem absolutamente nada a ver com a instituição bancária usada como tema da fraude. Este endereço apenas leva a um redirecionamento para outro endereço, onde a fraude está efetivamente hospedada.

Nota técnica: Eis o trecho de resposta HTTP de redirecionamento (código 302) para o endereço onde a fraude está hospedada.

GET /datos/folletos/Atualizacao-Unificacao.php?ID=6235 HTTP/1.1
Host: www.clcmaquinaria.es

HTTP/1.1 302 OK
Location: http://www.aparecida.go.gov.br/site/Uploads/Galeria/595/InternetBanking/
Server: Microsoft-IIS/6.0
X-Powered-By: PHP/4.4.7, PleskWin, ASP.NET

Observe o endereço: Para hospedar a fraude, invadiram o portal da Prefeitura Municipal de Aparecida, em Goiás — www.aparecida.go.gov.br.

Dados confidenciais solicitados na primeira tela: Agência, conta e senha de internet.

[photopress:fraude_santander_web.png,full,centered]

A fraude se dá ao luxo de validações em JavaScript, para evitar que o usuário forneça informações inválidas ou incorretas ao fraudador. Na primeira tela, verifica se a senha de internet e sua confirmação digitadas são iguais, conforme mensagem de erro a seguir.

[photopress:fraude_santander_web_valida.png,full,centered]

Dados confidenciais solicitados na segunda página: CPF, RG (identidade), nome do pai, senha de Disk Real, assinatura eletrônica.

[photopress:fraude_santander_web_02.png,full,centered]

Novamente, a página inclui diversas validações dos dados fornecidos, conforme duas ilustrações a seguir.

[photopress:fraude_santander_web_02_valida.png,full,centered][photopress:fraude_santander_web_02_valida2.png,full,centered]

Na última tela da fraude, solicita todos os códigos do cartão e o número de série deste.

[photopress:fraude_santander_web_03.png,full,centered]

Indício claro de fraude: Os bancos possuem o número de série de todos os códigos dos cartões de segurança enviados aos clientes. O banco sempre solicita apenas o código de uma posição por vez (em uma tela ou transação bancária), para confirmar que o cliente possui o cartão e conhece o código na posição solicitada. Se uma página solicitar todos os códigos do cartão de segurança assim, é fraude!

Anatomia de fraude: MasterCard

by Márcio

30 de junho de 2011

23:17

1 comentário em Anatomia de fraude: MasterCard

Pragas virtuais, Segurança

Vou exibir e analisar em detalhes mais uma fraude que permanece ativa até o momento em que escrevi este artigo. É uma fraude do tipo phishing scam (pesca-otários) que leva o usuário a relevar dados sigilosos. Previna-se!

Spam prolifera a fraude

Primeiro, você recebe uma mensagem de e-mail fraudulenta, enviada a uma lista de spam para milhares de potenciais destinatários. Veja a seguir uma imagem de reprodução da mensagem de correio eletrônico:

[photopress:fraude_mc_email.png,full,centered]

Primeiro indício de fraude: Impessoalidade. A mensagem, nem no campo de destinatário nem no corpo da mensagem, citou o seu nome completo, apenas seu e-mail. Empresas sérias, em suas comunicações, das quais você é cliente e que, portanto, possuem cadastro com seu nome, em geral referenciam o nome do cliente.

Esta comunicação personalizada, além de ser mais atrativa em termos de marketing, ainda agregaria mais segurança e confiabilidade para quem recebe. Nem todas as empresas legítimas seguem a boa prática de citar o nome do cliente nas comunicações por e-mail, mas um spam não costuma citar seu nome, ou porque o fraudador em geral utiliza apenas uma lista de e-mails de spam que não possui o nome associado a cada e-mail, ou porque sequer se dá ao trabalho de personalizar as mensagens enviada em massa.

Mas cuidado: fraudes mais sofisticadas já utilizam listas de spam “completas” que contém o nome do destinatário dententor do e-mail! Neste caso, podem burlar o indício da impessoalidade e conter o seu nome! Abordei esse problema em meu artigo Cuidado – A fraude evoluiu, em 2009.

Segundo indício de fraude: O tema da mensagem é altamente suspeito, típico de fraudes. Alega recadastramento de segurança de alguma instituição financeira popular. Nenhuma empresa séria utiliza e-mail para recadastramento seguro e, no mínimo, sem prévia orientação por carta ou outro meio confiável de divulgação.

A fraude ficará mais óbvia se você sequer for cliente da instituição em questão. Esse tipo de fraude tira proveito da estatística. Manda milhares ou milhões de mensagens de spam usando como tema de fraude alguma instituição popular, na esperança de que provavelmente um percentual razoável dos destinatários tenha relacionamento (seja cliente) ou conheça a instituição em questão.

Remetente: [email protected]
Endereço web de destino do link: http://www.colegiosaopaulobh.com.br/site/imagens/red.html

Terceiro indício de fraude: Link de destino suspeito. O endereço de e-mail do remetente parece ser relacionado à empresa tema da fraude, mas isso não é nenhum indício de confiabilidade, porque infelizmente este campo pode ser facilmente forjado. Mas o domínio do link de destino deve levantar suspeita imediata: ColegioSaoPauloBh certamente é um domínio que não tem nada a ver com o tema ou a empresa citada na fraude.

Só por estes indícios, a pessoa que recebeu a mensagem já deveria suspeitar prontamente de fraude e tomar a medida mais segura: jamais clicar no link e excluir a mensagem imediatamente.

Caminho do mal: Formulários web solicitam e roubam dados sigilosos

Se o usuário apesar de tudo é ingênuo e inconsequente, não reconhece se tratar de uma fraude, pode correr o enorme risco de clicar no link.

Para exemplificar em detalhes esta fraude, tomamos precauções de segurança em um ambiente muito bem controlado e monitorado e seguimos o link, com o único propósito de mostrar a você os perigos que esperam neste caminho do mal.

Em geral, os links de mensagens de fraude tem um dos destinos igualmente perigosos: ou levam a um endereço web de download de um programa malicioso — em geral um programa espião que visa roubar dados pessoais/sigilosos mantidos ou digitados em seu computador, e posteriormente enviar pela internet ao fraudador — ou levam a uma página falsa de formulário que solicita dados pessoais/sigilosos. Esta fraude é o segundo caso.

O endereço web destino leva a uma página que apenas leva a uma página em outro site, onde está hospedada a fraude efetiva. utilizando o código HTML seguinte:

<META http-equiv="refresh" content="0;URL=http://www.locaville.ind.br/admin/_notes/Promocao2011/">

Quarto indício de fraude: O novo domínio de destino (locaville.ind.br) não tem, igualmente, nada a ver com a instituição financeira utilizada como tema da fraude.

Quinto indício de fraude: Páginas de formulário solicitando dados de segurança, pessoais e/ou sigilosos, devem sempre utilizar uma conexão segura HTTPS (aquela em que o navegador exibe um cadeado e o endereço é precedido por https://). Esta é uma conexão HTTP comum sem segurança (endereço precedido por http://, sem S). Nunca digite dados sigilosos em páginas sem conexão HTTP segura, nem em conexões HTTPS em que o navegador informe que o certificado de segurança não é confiável ou não é válido!

Sexto indício de fraude: O utilitário WOT, extensão gratuita e livre que instalei no navegador web, avisou que a página em questão não era confiável e pdoe ser perigosa para a segurança e privacidade do usuário. Para saber mais sobre esse tipo de ferramenta simples e extremamente útil, leia o artigo Quem avisa amigo é – Classificação de sites.

Veja a seguir as telas (páginas) de formulário e os dados solicitados:

[photopress:fraude_mc_web_01.png,full,centered]
[photopress:fraude_mc_web_02.png,full,centered]
[photopress:fraude_mc_web_03.png,full,centered]
[photopress:fraude_mc_web_04.png,full,centered]

Número, data de validade e código de segurança de seu cartão de crédito.
Nome, CPF, data de nascimento e data de vencimento da fatura do titular do cartão.

De posse de todos estes dados, um fraudador consegue facilmente fazer compras pela internet ou telefone utilizando este cartão como meio de pagamento. Com o nome, CPF e data de nascimento de uma pessoa, consegue ainda fraudar cadastros diversos e obter informações dessa pessoa nas mais diversas situações e finalidades, não só no comércio, mas também junto a órgãos e serviços públicos!

A fraude de phishing scam baseada em formulários, como esta aqui mostrada, é uma das mais revoltantes. Ao invés de levar o usuário a instalar um programa espião que rouba às escondidas dados pessoais/sigilosos gravados ou digitados no computador, leva o próprio usuário ingênuo e discplicente a fornecer voluntariamente seus dados. É muito grave e perigoso!

Espero que este artigo, mostrando e explicando os perigos em detalhe, tenha sido instrutivo; e tenha alertado e orientado você sobre os riscos, indícios e cuidados para que você se previna de fraudes como esta na internet.

Para saber mais:

Phishing Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, artigo com coletânea de centenas de imagens de amostra de fraudes, coletadas ao longo de mais de seis anos e categorizadas por temas comuns, e informações sobre indícios de fraudes.
Veja mais artigos sobre Segurança listados nos destaques deste blog.

Informação sobre segurança digital

by Márcio

9 de junho de 2011

14:12

Leave a comment on Informação sobre segurança digital

Internet, Segurança

Já falei aqui no blog dezeneas de vezes que as ameaças e a preocupação com segurança digital na internet são tão importantes quanto quando se vive em qualquer grande cidade do Brasil ou do mundo — e em maior escala. A internet apresenta riscos para inocentes, ingênuos e desinformados: tanto crianças quanto adultos despreparados.

Na internet, como na vida, existem perigos: boatos, trotes, mentiras, engodos, fraudes, ataques, crimes.

Mas não é por isso que devemos deixar de lado todo o potencial de benefícios do mundo de informações e serviços que a internet também nos propicia na comodidade do computador.

A chave de tudo é informação sobre segurança digital. E, felizmente, isso também é o que não falta, livremente disponível na própria internet, inclusive em bom português.

A maior parte desses recursos tem linguagem acessível a qualquer pessoa, em geral na forma de cartilhas didáticas. Outros são relatórios e informativos mais técnicos, como pesquisas sobre segurança que servem para pautar as diretrizes e ações de profissionais e equipes de tecnologia. Faço aqui uma coletânea de algumas das principais fontes de informação disponíveis.

Cartilhas

Cartilha de Segurança para Internet do CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
Cartilhas da FECOMERCIO – Federação do Comércio do Estado de São Paulo, por Renato Opice Blum, Conselho Superior de Tecnologia da Informação:
- Perigos da internet: como os pais podem proteger seus filhos – cartilha-ti-kids.pdf [PDF], novembro 2008.
- Cuidados com a Internet: Crimes Virtuais – cartilha-crimes-virtuais-baixa.pdf [PDF], setembro 2008.
- Monitoramento Eletrônico: Sugestões para controle de e-mails e recursos tecnológicos – arquivo_cartilha_01.pdf [PDF], setembro 2005.
- Internet: como usar a web para projetar a imagem da sua empresa e ampliar negócios – como_usar_a_web.pdf [PDF], novembro 1999.
Computador, use-o com mais segurança, cartilha de prevenção a crimes tecnológicos, por Polícia Civil do Distrito Federal, Departamento de Atividades Especiais, DICAT – Divisão de Repressão aos Crimes de Alta Tecnologia.
Cartilha Navegar com Segurança (PDF). Navegar com Segurança: Protegendo seus filhos da pedofilia e da pornografia infanto-juvenil na Internet. Por Ministério Público do Estado de Minas Gerais, Promotoria Estadual de Combate aos Crimes Cibernéticos, novembro 2008.
Terra – Cartilha de Segurança para Internet.

Relatórios e Pesquisas

Ernest & Young – Pesquisa Pesquisa Global sobre Segurança da Informação, em Ernest & Young Terco – Análises – Pesquisas, realizada pela Ernst & Young com executivos de 1,3 mil empresas, órgãos governamentais e entidades sem fins lucrativos em 55 países.
Global state of information security survey, pesquisa mundial por CIO Magazine, CSO Magazine e PricewaterhouseCoopers (PwC).
Relatório de Ameaças à Segurança na Internet, relatório anual por Symantec Empresas – Pesquisa e análise da segurança.
Pesquisas e Relatórios McAfee, incluindo o Relatório de criminologia virtual, relatórios periódicos sobre ameaças e spam, entre outros.

Para saber mais:

Referências sobre Segurança Digital, ver Informação e Notícias em Português.
Referências sobre Vírus, ver Centros de Informação por Produtores de Antivírus.
Phishing Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, 2004 a 2010.
O vírus mais ativo da Internet, por Márcio d’Ávila, 2004.

Pronto. Agora você não tem desculpa que tem medo da internet por falta de informação. Boas leituras!

Autenticação multifator

by Márcio

8 de maio de 2011

22:32

1 comentário em Autenticação multifator

Cotidiano, Ensaios, Segurança

autenticação, autenticidade, certificado digital, identidade, senha

A autenticação multifator é algo que tem se popularizado rapidamente nos sistemas de internet banking (transações bancárias pela internet) e outras aplicações de identidade digital no Brasil e no mundo.

Espero que com esse artigo você tenha uma visão prática e abrangente dos fatores de autenticação, um aspecto da segurança que a maioria das pessoas utiliza de alguma forma em seu dia a dia.

Vamos começar definindo autenticação e seus fatores.

Autenticação

Autenticação, no âmbito da segurança digital, é o procedimento que confirma a legitimidade do usuário que realiza a requisição de um serviço, para o controle de acesso identificado. Este procedimento é baseado na apresentação de uma identidade junto com uma ou mais credenciais de confirmação e verificação.

Na definição objetiva de Wel. R. Braga, o processo de autenticar usuários consiste em determinar se um usuário é quem ele afirma ser.

A identidade ou identificador do usuário pode ser um nome criado especificamente para determinado ambiente, serviço ou aplicação, que se costuma denominar login ou logname. O login pode ser textual (um codinome) ou numérico (similar a um número de identidade).

Em algumas situações, pode-se aproveitar um identificador que o usuário já possui como login. Logins textuais muitas vezes permitem que se utilize o nome de uma conta de e-mail do usuário. Logins numéricos podem utilizar um número de documento de identidade como CPF, número do título de eleitor, RG, número de registro profissional (OAB, CRM, CREA etc.), número de inscrição do usuário no serviço, matrícula funcional etc.

Para confirmar a credencial, usa-se um elemento que deve casar unicamente com o identificador do usuário. É aí que entra o fator de autenticação.

Os fatores de autenticação para humanos são normalmente classificados em três casos:

algo que o usuário sabe: senha, PIN (número de identificação pessoal), frase de segurança ou frase-passe, que normalmente deve ser apenas memorizada e não escrita, para garantir o segredo que torna o fator seguro;
algo que o usuário possui/tem: certificado digital A3 (token ou smart card), cartão de códigos numéricos, token de segurança (gerador eletrônico de senhas únicas temporais), token por software, códigos enviados por telefone celular (SMS) etc.;
algo que o usuário é: impressão digital, padrão de retina, sequência de DNA, padrão de voz, padrão de vasos sanguíneos, reconhecimento facial, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico.

A autenticação mais comum é a combinação de login e senha, ou seja, utilizando apenas um fator. A senha memorizada, contudo, tem sua fragilidade. Tanto a identificação (login) quanto a senha (este fator “algo que você sabe”) podem ser revelados ou descobertos, permitindo a fraude de utilização ilegítima de identidade de uma pessoa por outra. Pode ainda ser esquecida, causando transtornos ao usuário, pois exigirão alguma forma de redefinição ou reposição de uma nova senha.

Por isso, bancos e outras instituições têm cada vez mais recorrido à utilização de mais um fator, como veremos na seção seguinte.

Referências:

Autenticação e Protocolos AAA, verbetes em Wikipédia.
Fatores de autenticação, por Wel. R. Braga, 2009-09-28.
Two-factor authentication, verbete na Wikipedia em inglês.
Authentication World – The business of authentication (em inglês).

Fatores de autenticação e aplicações bancárias

Vistos os conceitos básicos, vamos comentar os fatores de autenticação exemplificados por sua utilização pelos bancos, em caixas eletrônicos e, principalmente, nas aplicações de internet banking.

O cartão magnético sempre foi utilizado pelos bancos. Além de armazenar a identificação numérica do usuário (banco, agência e conta), que é automaticamente lida nos caixas eletrônicos, ele é um fator de autenticação física do tipo “algo que você possui”. É combinado com a senha do cartão, fator do tipo “sabe”.

Com o aumento das fraudes e golpes em caixas eletrônicos, desde malfeitores próximos que observavam a senha digitada até o uso de equipamentos eletrônicos de fraude instalados nos caixas, os bancos começaram a inovar.

Algo que você sabe

Primeiro, vieram as técnicas de fornecimento indireto da senha. Menus de escolha mostrando mais de um dígito em cada opção. Isso faz com que um observador não saiba qual dos dígitos de cada opção é o da senha, sem reduzir a segurança — em termos matemáticos, em uma senha de 6 algarismos, escolhê-los em pares reduz as possibilidades de 10 dígitos para 5 pares, mas cada escolha (par) contém 2 opções de dígitos, então 10⁶ = 5⁶ * 2⁶ = 1 milhão.

Depois, veio o uso de mais de um fator na autenticação, o que caracteriza a chamada autenticação multifator que intitula este artigo. Primeiro, a criação de mais de uma senha, como senha do cartão, senha eletrônica de internet, senha de telefone, código mnemônico de letras. Em internet banking, o banco costuma solicitar uma senha eletrônica para autenticar no início, e depois pede a senha do cartão para confirmar uma transação bancária.

Ainda assim, os fatores do tipo “sabe” têm o problema de serem basicamente um segredo único memorizado, que pode ser descoberto involuntariamente, ou mesmo repassado voluntariamente. Saber algo não é um fator intrinsecamente único e individual. Ainda tem o problema de que quando são escolhidos pelo próprio usuário, este pode por comodidade ou preguiça escolher para senha um dado comum (como usar uma data de aniversário como senha numérica) e que pode ser conhecido por outras pessoas.

Algo que você possui

Então, os bancos passaram a acrescentar um fator do tipo “possui”. O fator desse tipo costuma ter o objetivo de transpor códigos que antes eram escolhidos e memorizados para dispositivos que transportam códigos seguros.

O primeiro fator desse tipo costuma ser o cartão de códigos. Um cartão impresso com vários códigos numerados (em geral, são 50 a 70 códigos de três ou quatro dígitos) é fornecido pelo banco e, na autenticação ou confirmação de uma transação, ele solicita um desses códigos. Bancos como Bradesco, Itaú e Real utilizam este fator. As fraudes sobre esses cartões são mais fáceis do usuário identificar, pois em geral solicitam que o usuário forneça todos os códigos numéricos do cartão ao mesmo tempo, e não apenas um por vez como o banco faz. O caso típico desse tipo de fraude é se travestir de uma operação de recadatro ou confirmação de segurança do próprio banco.

Outro fator que alguns bancos passaram a utilizar foi um dispositivo físico de geração de senhas únicas a intervalos de tempo. Tecnicamente conhecidos como dispositivos OTP (one time password), eles funcionam assim: em um mecanismo eletrônico, o dispositivo gera um código numérico válido por um período de tempo, em geral um minuto. Depois desse período, o dispositivo automaticamente gera outro código. A fórmula matemática utilizada para a geração desses números é conhecida pelo banco e sincronizada com seus computadores centrais, mas é um técnica complexa e praticamente imprevisível, denominada função pseudo-aleatória.

Bancos como antigo Unibanco (“multisenha”) e Itaú (“iToken”) utilizaram este fator (ilustrações a seguir). Apesar de seguro, ele tem alguns inconvenientes práticos. Para o banco, representa um custo extra da aquisição desse dispositivo para cada cliente, o que tem que compensar frente à redução de prejuízo em fraudes. Para o usuário (cliente), é um penduricalho a mais que ele tem que guardar e transportar consigo para onde precisar usar.

Multisenha Unibanco iToken Itaú pessoa física iToken Itaú pessoa jurídica (RSA SecurID)

Outra variante do fator “possui” tem sido o envio de códigos para o celular do cliente via SMS. Similar ao dispositivo OTP, esse fator permite que um código diferente seja gerado a cada uso. O que o cliente deve efetivamente possuir de forma única é o seu telefone celular. Como hoje em dia as pessoas em geral portam consigo o celular, isso evita ter que se carregar o dispositivo OTP. Essa técnica exige uma abrangência e eficiência da rede celular da operadora, pois o usuário terá de receber o código via SMS no momento em que está realizando uma operação bancária eletrônica. Bancos como Citibank, Itaú e Banco do Brasil tem utilizado esse fator.

Para que um fator do tipo “possui” utilizando um dispositivo físico como o OTP ou celular seja utilizado indevidamente, é preciso que o pretenso usuário ilegítimo (fraudador) consiga obter o dispositivo, minimizando o risco de fraudes eletrônicas à distância.

Certificação digital

Merece destaque o fator de autenticação usando certificado digital. Certificado digital é um mecanismo genérico, padronizado e amplamente utilizado para identificação e assinatura digital seguras nas mais diversas aplicações. Funciona como uma carteira de identidade digital. São emitidos por entidades credenciadas confiáveis chamadas autoridades certificadoras (AC) e autoridades de registro (AR). Exigem a comprovação de documentos do usuário titular para emissão, e uma série de procedimentos técnicos e operacionais de segurança.

O governo Brasileiro definiu a estrutura nacional de emissão de certificados digitais, a ICP Brasil (Infraestrutura de Chaves Públicas Brasileira), seguindo o padrão mundial já estabelecido. Através da ICP Brasil, pessoas físicas podem emitir o seu e-CPF e pessoas jurídicas (empresas) o e-CNPJ. O uso de certificados digitais tem sido impulsionado no Brasil pelo governo, em especial:

Fazenda e Receita Federal e Estaduais — Portal eletrônico e-CAC (onde o uso de certificação digital tem sido obrigatória para empresas e, por enquanto, opcionais para pessoas físicas), Escrituração Fiscal (SPED), Nota Fiscal Eletrônica (NF-e).
Judiciário, através do processo judicial eletrônico.

Entre aplicações de internet banking de pessoa física em geral, só tenho conhecimento do Banco do Brasil que atualmente permite a utilização de certificado digital como forma de autenticação do cliente. (Podem haver outros bancos utilizando, mas desconheço.)

[photopress:bb_autentica_certificado.png,full,centered]

Este fator não é necessariamente emitido pelo banco (para o banco emitir, deve ser AR devidamente credenciada a uma AC), mas sendo um padrão mundial estabelecido, ele consegue identificar seu cliente pelo nome completo e pelo CPF contidos na identidade digital.

O certificado digital tem diversas vantagens. Sendo um dispositivo de identidade universal amplo, serve não apenas para aplicações bancárias mas para qualquer uso de identificação digital da pessoa que seja disponibilizado.

O certificado do tipo A3 utiliza um dispositivo físico — um chip que pode ser em um token USB similar a um pen drive, ou em um cartão inteligente smart card (que exige uma leitora própria) — funcionando portanto como fator tipo “possui”. Existe também um certificado tipo A1 via software que é gravado no disco do computador, mas é considerado um pouco menos seguro.

Token da marca Alladin

O certificado digital é baseado na técnica de segurança digital chamada criptografia de chave pública, onde existe um código secreto (chave privada) que fica inviolável dentro do dispositivo físico do certificado A3, e uma contraparte para identificação pública do titular do certificado (chave pública), preservando o segredo da chave privada.

O uso da chave privada é protegido por uma senha (PIN) ou mesmo por um leitor biométrico (atualmente, os certificados digitais com biometria mais difundidos acoplam um leitor de impressão digital). Ou seja, o do certificado digital embute múltiplos fatores de autenticação.

O empecilho essencial para popularizar o certificado digital como fator de autenticação é o custo. Atualmente, a emissão de um certificado A3 com validade de três anos custa algo entre 100 e 300 reais, incluindo o custo do dispositivo (token ou smartcard). Por medida de segurança, essa identidade digital precisa ser renovada ou reemitida ao término de cada período de vigência, a um custo que hoje gira em torno de 100 reais.

No sistema da novo documento de identidade brasileiro, o Registro de Identidade Civil (RIC), há a possibilidade de ele incorporar um certificado digital. Iniciativas como essa para popularização de meios de armazenamento de certificado digital, mais a disseminação de serviços públicos (governamentais) com uso destes, podem levar nos próximos anos a uma grande popularização que leve a um aumento de escala e consequente redução drástica do custo. Essa é uma grande esperança!

Para saber mais:

Smart Card Alliance (em inglês).
Cartão inteligente, verbete na Wikipédia.
Smart card, verbete na Wikipedia em inglês.

Algo que você é

E a biometria como fator de autenticação? Teoricamente, parece ser o mais seguro e prático. Seguro porque parece difícil fraudar características físicas pessoais exclusivas como padrões de impressão digital, retina, veias, face etc. Prático porque você não precisa memorizar nem possuir nada, são características físicas que existem em seu corpo.

Mas dos três fatores, este é o que ainda possui os maiores desafios. Na prática, padrões biométricos ainda são sujeitos a problemas de abrangência e precisão. Não reconhecimento de uma pessoa legítima (“falso negativo”), a possibilidade mesmo que remota de identificar uma pessoa como a característica biométrica de outra (“falso positivo”), e a dificuldade de se estabelecer padrões biométricos que funcionem de forma efetiva para todos. Só para se ter ideia, na impressão digital, que é um dos padrões biométricos mais conhecidos e utilizados, uma pessoa muito jovem, idosa, que utiliza produtos químicos ou que faça trabalhos manuais duros que desgastem a pele podem simplesmente não ter uma digital legível de forma precisa.

Outro desafio preponderante de decisão da viabilidade e popularização no mercado é o alto custo. Dispositivos de leitura biométrica ainda são muito caros para se popularizar em larga escala atualmente.

Política de segurança da informação

by Márcio

28 de fevereiro de 2011

16:01

Leave a comment on Política de segurança da informação

Gestão, Segurança

Sua empresa quer ou precisa elaborar uma política de segurança da informação, mas não sabe nem por onde começar? Eis aqui algumas dicas.

[photopress:bmis.png,full,centered]
Créditos da figura: ISACA, 2009, An Introduction to the Business Model for Information Security (PDF).

Uma política de segurança da informação em geral é composta de diretrizes, normas e procedimentos que visam garantir confidencialidade, integridade e disponibilidade da informação (documental) que é produzida, recebida, utilizada, processada, armazenada e descartada por uma instituição. A gestão da segurança da informação envolve pessoas, processos, tecnologia e ambiente.

Deve também, idealmente, instituir um grupo ou comitê formal e permanente para centralizar o gerenciamento e orientação das atividades relativas a segurança da informação na organização. Para maximizar a autonomia e eficácia desse comitê gestor de segurança da informação, este deve estar ligado ao mais alto nível hierárquico de gestão da organização, como sua presidência ou comitê estratégico/executivo.

Não existe um modelo padrão de política de segurança da informação, porque esta tem que refletir os valores e a cultura da organização a qual se aplica, e levar em conta o negócio e o contexto em que ela está inserida. Ou seja, a política de SI deve ser construída sob medida para cada organização.

As normas ABNT e ISO/IEC relativas a segurança da informação fornecem conceitos e fundamentos essenciais que podem e devem embasar uma boa política de segurança da informação.

Mas a partir daí, as diretrizes, normas e políticas deve ser construídas em resposta a questões essenciais, como:

Quais são os ativos e as informações de valor para a organização e seu negócio e que devem ser protegidos?
Quais são os riscos aos quais a organização e suas informações estão submetidas, quais deles devem ser abordados e mitigados, e quais serão simplesmente aceitos?
Quais são os aspectos e parâmetros relevantes para se definir o balanceamento entre: investimentos em segurança da informação versus valor dos ativos a serem protegidos e riscos de perdas envolvidos; ativos e serviços a serem protegidos versus vulnerabilidades e aspectos mais críticos a serem abordados na sua segurança; conveniência e facilidades versus proteção e controle.

O Sans Institute disponibiliza em seu portal uma série de documentos (PDF, em inglês) úteis para auxiliar na composição de uma política de segurança da informação, com foco em tecnologia da informação (TI):

Principais Normas ABNT NBR e ISO/IEC aplicáveis:

Padrões em segurança da informação: Série ISO/IEC 27000 (ex 17799, BS 7799) – Gestão de Segurança da Informação.
ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Requisitos para Sistemas de gestão de segurança da informação.
ABNT NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão de segurança da informação.
ABNT ISO Guia 73:2009 – Gestão de riscos – Vocabulário.
ISO/IEC 13335-1:2004 – Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management.
ISO/IEC TR 18044:2004 – Information technology — Security techniques — Information security incident management.

Outras referências úteis:

Livro: Política de Segurança da Informação – Guia prático para elaboração e implementação, por Fernando Nicolau Freitas Ferreira.
Políticas de segurança da informação, verbete em Wikipédia.
An Introduction to the Business Model for Information Security, ISACA. Business Model for Information Security – BMIS (requer registro gratuito).
RFC 2196 – Site Security Handbook – (2) Security Policies.
Segurança de Redes – Projeto e Gerenciamento de Redes Seguras, apresentação por Jivago Alves, em SlideShare.
Decreto Presidencial nº 3.505, de 13 de junho de 2000 – Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal.

Fraude em nome de Diners

by Márcio

26 de janeiro de 2011

22:03

Leave a comment on Fraude em nome de Diners

Pragas virtuais, Segurança

fraude, phishing scam

Relato aqui mais uma fraude eletrônica que observei hoje, e destaco os pontos importantes.

A mensagem de fraude é esta:

[photopress:fraude_diners.png,full,centered]

Assunto: Parabéns! Seu Diners foi sorteado para participar da promoção Presente Toda Hora.
Remetente (alegado): [email protected]
Imagem da mensagem hospedada em: http://lh3.ggpht.com/…/dinersdef32x.jpg
Link de destino apontado pela mensagem: http://www.redirecionadiners.com/www.diners.com.br.php
Link leva ao download de um executável Windows: Diners.exe

Como reconhecer que se trata de uma fraude do tipo “pesca trouxas” (phishing scam):

Tema suspeito. Faça a si mesmo perguntas como as seguintes: Você possui esse cartão? Inscreveu-se em alguma promoção? Forneceu e autorizou este endereço de e-mail a receber notificações? Existe mesmo essa promoção, e consta divulgada no site oficial do cartão? Fui sorteado, não está fácil demais? Lembre-se do ditado: “Quando a esmola é grande, o santo desconfia.”
Remetente suspeito (embora isso pudesse ser forjado). Por que o domínio “open.art.br”? Por que não um endereço do domínio do site oficial do cartão?
Link de destino suspeito, embora pareça verossímil a um leigo.
E o principal: Ao invés de levar a uma página de informações, ou cadastro, leva ao download de um executável. Desde quando uma promoção via internet vai exigir instalar e/ou executar um programa em seu computador, para o cadastro? Por que não apenas levar a uma página web de adesão, de preferência no site oficial do cartão? Downloads, ainda mais de arquivos executáveis (programas), são SEMPRE suspeitos até que se prove em contrário.

Aí o preguiçoso e crédulo pode pensar: Se é um arquivo executável, então o antivírus deve detectar vírus ou outro código malicioso.

Não é bem assim. Lembre-se que o antivírus em geral é como um “agente de polícia que procura bandidos baseado exclusivamente em uma lista de procurados; se o sujeito não está na lista, não é considerado bandido ou suspeito”. A “lista de procurados” são os dados recebidos nas atualizações do antivírus.

Se o antivírus não estiver recentemente atualizado, ou se o código malicioso ainda é muito recente e “o bandido não foi denunciado, descoberto e fichado pela polícia”, ou seja, ainda não foi detectado e analisado pelo fabricante do antivírus, o malware não constará na lista e o antivírus não detecta!

Esse é exatamente o caso. A fraude é muito recente, e analisei o arquivo executável nos 43 utilitários antivírus do site VirusTotal.com e nenhum deles ainda reconhece como malicioso no momento em que escrevo este artigo.

Veja reprodução do resultado atual da análise:

[photopress:malware_diners_virustotal.png,full,centered]
(PDF do resultado)

A conclusão é a mesma de sempre: Na internet, desconfie sempre, tenha muito cuidado!

Hackers atacaram site da MasterCard, diz imprensa britânica

by Márcio

8 de dezembro de 2010

17:14

Leave a comment on Hackers atacaram site da MasterCard, diz imprensa britânica

Internet, Notícias, Segurança, Tecnologia

Ofensiva seria represália a bloqueio de doações para o WikiLeaks.
Outros sites envolvidos com o caso também sofreram ataques.

Fonte: Hackers atacaram site da MasterCard, diz imprensa britânica
Do G1, com agências internacionais.

Hackers atacaram nesta quarta-feira (8) o site da empresa de cartões de crédito MasterCard, no que seria uma retaliação ao bloqueio de doações para o site WikiLeaks, segundo a BBC, o “Guardian” e outras publicações britânicas.

A empresa não comentou. O site estava fora do ar no final da manhã.

Um grupo chamado “Anonymous” havia ameaçado nesta semana atacar empresas que bloquearam o WikiLeaks — centro de polêmica após divulgar documentos da diplomacia dos EUA.

O grupo denuncia um suposto complô para “censurar” o WikiLeaks na web.

A notícia do G1 ainda cita outros ataques que podem estar relacionados a represálias em defesa do WikiLeaks, e apresenta um interessante infográfico interativo das principais revelações dos documentos diplomáticos dos EUA vazados pelo WikiLeaks, organizados no Mapa Mundi por países citados/relacionados.

O australiano Julian Assange, de 39 anos, fundador do site WikiLeaks, foi preso ontem (7) pela Polícia Metropolitana de Londres, na Grã-Bretanha.

Para saber mais:

The Guardian, UK: MasterCard site hit by hacker revenge attack (em inglês), 2010-12-08.
BBC News, UK: Home page of Wikileaks (em inglês), 2010-12-08.
WikiLeaks.org (em inglês, e o endereço do site pode mudar a qualquer momento).

LastPass vs KeePass – round 1

by Márcio

6 de julho de 2010

23:00

4 comentários em LastPass vs KeePass – round 1

Cotidiano, Segurança

Nas minhas primeiras impressões comparando os gerenciadores de senha (e outros dados privados) LastPass e KeePass, sai na frente o LastPass por enquanto. Veja a seguir.

Instalação e configuração inicial

LastPass

O LastPass mostra facilidades desde o download e a instalação: O link para Download já sugere a versão recomendada para a plataforma do usuário (Windows, Mac, Linux, dispositivos móveis) [+]. Tudo bem que não me ofereceu de cara a versão 64-bits otimizada para o meu Windows [-], mas o link “todos os downloads para esta plataforma” trouxe essa opção. O LastPass Universal Windows Installer 1.68.2 é em inglês [-], mas simples de instalar.

[photopress:lastpass_01.png,full,centered]

Ofereceu a opção de já instalar plug-ins de integração com os navegadores Web instalados (Internet Explorer e Firefox) e de substituir os respectivos gerenciadores de senha destes [+]. A instalação permitiu importar facilmente todas as senhas armazenadas no gerenciador do Firefox (bastou me solicitar a senha mestre deste) [+].

O programa instalado inclui interface localizada em português (e muitos outros idiomas) [+]. Nos dois navegadores Web, surgiu na barra de ferramentas o botão do LastPass, com seus menus e recursos, comportando-se de forma bem similar em ambos [+].

KeePass

Já o KeePass, em Downloads, oferece opção do KeePass 1.7 Classic Edition, e do KeyPass 2.11 Professional Edition, ambos gratuitos/livres [+] e apenas para Windows [-]. A segunda opção requer o Microsoft .NET Framework 2.0 ou superior, mas em compensação traz mais recursos, além de suportar também Linux e Mac OS X [+] se estiver instalado o Mono Framework 2.6 ou superior (projeto de software livre que implementa a especificação do .NET Framework em plataformas tipo Unix). Na dúvida sobre qual opção escolher, o link Edition Comparison Table compara as características das edições Classic e Professional lado a lado [+]. Escolhi o Professional. Existem também opções de ports contribuídos ou não oficiais para diversas plataformas móveis e o KeePassX for Linux / Mac OS X.

Oposto ao LastPass, o instalador do KeyPass 2.11 tem opção em Português do Brasil [+], mas o software instalado não traz essa opção nativamente no pacote [-], sendo necessário para isso baixar um ZIP à parte, referente à tradução de interface contribuída pela comunidade, descompactar manualmente na pasta da aplicação [-] e selecionar o novo idioma (View > Change language) no programa.

Princípios básicos

LastPass

O LastPass é voltado para o armazenamento seguro e centralizado de senhas e integração com navegadores e páginas Web. É necessário criar uma conta on-line gratuita onde as informações são armazenadas, o que possibilita sincronizar automaticamente seus dados e acessá-los de diferentes computadores e dispositivos, a qualquer momento.

Na navegação Web, o LastPass oferece para armazenar e preencher automaticamente dados de usuário e senha de acesso (autenticação) em qualquer site [+].

KeePass

O KeePass tem uma interface agradável e objetiva [+], exibindo em sua janela uma listagem em árvore das senhas (inicialmente vazia só com uma entrada exemplo, já que o programa não importa nada automaticamente).

[photopress:keepass_01.png,full,centered]

Diferente do LastPass, não há para o KeePass uma conta on-line [-], o que contudo privilegia a privacidade máxima no armazenamento dos dados [+]. A proposta original de mobilidade entre computadores do KeePass é através do seu uso em um pendrive USB, já que sua instalação não envolve arquivos de DLL ou configurações em pastas de sistema nem entradas no registro do Windows [+]. A base de dados consiste em um único arquivo que pode ser facilmente transferido a outro computador ou dispositivo.

Quanto a autopreencher algum formulário na Web, precisou o comentário do amigo Paulinho no artigo anterior me antecipar que havia o recurso Auto-Type, e o tutorial Primeiros Passos me ensinar o atalho Ctrl+V e outros meios, mas a automação de preenchimento na Web não é tão integrada com os navegadores quanto o LastPass [-]. Não cheguei a experimentar o plug-in de terceiros KeeFox que promete integrar o KeePass ao Firefox.

O KeePass tem uma arquitetura aberta a plug-ins, com diversos disponíveis para download [+].

Conclusão do round 1

Neste primeiro round, sai na frente o LastPass por suas facilidades de instalação e de integração.

Gerenciador de senhas

by Márcio

5 de julho de 2010

22:26

4 comentários em Gerenciador de senhas

Cotidiano, Segurança, Tecnologia

Boas práticas de segurança da informação orientam a você a utilizar senhas suficientemente grandes e complexas, combinando letras, números e símbolos. Orientam a não utilizar datas ou outras informações pessoais como base para a senha. Mais ainda, orientam a não utilizar a mesma senha em diversos locais.

Você busca seguir todas essas orientações e rapidamente se vê utilizando dezenas ou centenas de senhas diferentes e difíceis de se memorizar. Agregue isso à enorme quantidade de dados sigilosos que temos de manter, como contas bancárias, cartões de crédito, documentos etc.

E como gerenciar de forma segura esse caos, e ainda assim conseguir praticidade na hora de utilizar essas informações? Ter essa informação sempre a mão, não importa se você está usando o sistema operacional, navegando na internet, ou em trânsito tendo por perto um smartphone ou apenas um pendrive.

A solução é um programa gerenciador de senhas e dados sigilosos que seja poderoso, confiável e multiplataforma.

Os dois principais programas disponíveis são software livre (gratuitos e abertos), poderosos e estão disponíveis para diversos sistemas operacionais de computadores e smartphones:

LastPass – oferecendo grande integração com navegadores Web e sincronização com repositório remoto centralizado para uso unificado entre diversos computadores e dispositivos, suporta Windows, Mac e Linux, Internet Explorer, Firefox, Opera e Chrome, iPhone, BlackBerry, Windows Phone, Symbian e Android.
KeePass – prima por uma interface desktop amigável, originalmente para Windows, mas com ports para PcoketPC, Java, Linux, MacOS X, pendrives U3, iPhone, BlackBerry, Android.

Qual é o melhor? Você encontrará opiniões diversas na Internet, por exemplo:

Password Manager Comparison – eWallet vs. KeePass vs. LastPass, 2009-06-30, em 40Tech.
Securely manage your passwords with LastPass or KeePass, 2010-03-14, por Ed Brown, em FreakGeek.ly.
KeePass vs Lastpass – password management, discussão nos fóruns em Productive Geek.
KeePass Vs. LastPass, discussão em [H]ard|Forum.

Vou optar por avaliar eu mesmo os dois e ver se chego a uma conclusão. Enquanto isso, opiniões dos meus leitores são MUITO bem vindas. Qual gerenciador de senha você usa e prefere, e porque?

Boletim de Segurança da Kaspersky para 2009

by Márcio

24 de junho de 2010

7:16

2 comentários em Boletim de Segurança da Kaspersky para 2009

Citações, Cotidiano, Notícias, Pragas virtuais, Segurança, Tecnologia

A equipe de analistas de segurança da empresa russa Kaspersky, fornecedora de um dos mais eficientes e conceituados antivírus do mercado e outros produtos para segurança de computadores e redes, divulgou em 17 de fevereiro deste ano o boletim anual de segurança relativo a 2009.

O Kaspersky Security Bulletin 2009 é dividido em três partes:

Malware Evolution 2009, por Eugene Aseev, Alexander Gostev e Denis Maslennikov. Analisa tendências dos últimos anos, análise de 2009 (aumento da sofisticação, epidemias, fraudes, malware para plataformas e dispositivos não usuais), previsões.
Statistics, 2009, por Eugene Aseev e Alexander Gostev. As estatísticas abordam programas maliciosos na Internet (ataques via Web), e os Top 20 em 2009 para códigos maliciosos na Internet, países hospedando malware e países atacados.
Spam Evolution 2009, por Elena Bondarenko, Darya Gudkova e Maria Namestnikova. Aborda uma visão geral do ano, spam no tráfego de correio, fontes de spam, categorias, fraudes (phishing, scam), tipos e tamanhos, métodos e truques dos spammers, spam nos sites de redes sociais, malware em email, e conclusões.

Os dados e informações, como sempre infelizmente, assustam.

Novos malwares por ano

Além do boom de novos malwares observados em 2008 — devido a fatores como rápida evolução da criação de virus na China, evolução das tecnologias de infecção de arquivos, e solidificação de vetores de ataque –, 2009 manteve taxa de surgimento de malware próxima a 2008 e ainda os programas maliciosos se tornaram significativamente mais complexos e sofisticados.

Com a evolução e popularização dos smartphones, observa-se um razoável movimento de surgimento de malware para dispositivos móveis. Embora o número absoluto de novos malwares em 2009 não pareça grande, 257, representa um aumento próximo a 80% em relação a 2008.

China aparece como hospedeiro de mais da metada de todo malware mundial (52,7%), seguida por Estados Unidos (19,02%). Em terceiro e quarto no ranking vem Países Baixos (5,86%) e Alemanha (5,07%). Brasil aparece em décimo-terceiro da lista, responsável por apenas 0,44%.

A China também é o maior alvo de ataques, 46,75% deles. EUA também são segundo como alvo, mas em apenas 6,64% do total. Rússia em terceiro (5,83%), Índia quarto (4,54%), seguidos por Alemanha (2,53%), Reino Unido (2,25%), Arábia Saudita (1,81%) e, em oitavo, Brasil (1,78%).

Softwares populares têm suas vulnerabilidades mais exploradas. Não por acaso, Microsoft (Office, serviços XML), Apple (QuickTime + iTunes), Adobe (Flash Player) e Sun (Java) fecham o ranking das 20 vulnerabilidades mais críticas que responderam por 90% dos arquivos/aplicações vulneráveis no ano.

Ranking de vulnerabilidades

Considerando a base instalada de programas, os aplicativos mais perigosos de 2009 foram, nessa ordem:

Apple QuickTime
Microsoft Office
Adobe Flash Player

Percentual de spam no tráfego de email

Quantos aos insuportáveis spams, é muito triste constatar que mais de 80% de todo o tráfego de correio eletrônico no mundo é de lixo.

Países origem de spam

Tipos de spam

Estados Unidos (16%), Rússia (8,5%) e Brasil (7,6%) são as maiores origens de spam, proliferando a divulgação de medicamentos (“viagra” e afins), diplomas e outros lixos.

Fraudes em spam

No segundo semestre de 2009, quase 10% do spam envolveu mensagens fraudulentas, em phishing e scam. Eu apostaria que especificamente no Brasil, esse percentual deve ser bem maior, pela quantidade enorme de fraudes que vejo circular por aqui.