Informação sobre segurança digital

Já falei aqui no blog dezeneas de vezes que as ameaças e a preocupação com segurança digital na internet são tão importantes quanto quando se vive em qualquer grande cidade do Brasil ou do mundo — e em maior escala. A internet apresenta riscos para inocentes, ingênuos e desinformados: tanto crianças quanto adultos despreparados.

Na internet, como na vida, existem perigos: boatos, trotes, mentiras, engodos, fraudes, ataques, crimes.

Mas não é por isso que devemos deixar de lado todo o potencial de benefícios do mundo de informações e serviços que a internet também nos propicia na comodidade do computador.

A chave de tudo é informação sobre segurança digital. E, felizmente, isso também é o que não falta, livremente disponível na própria internet, inclusive em bom português.

A maior parte desses recursos tem linguagem acessível a qualquer pessoa, em geral na forma de cartilhas didáticas. Outros são relatórios e informativos mais técnicos, como pesquisas sobre segurança que servem para pautar as diretrizes e ações de profissionais e equipes de tecnologia. Faço aqui uma coletânea de algumas das principais fontes de informação disponíveis.

Cartilhas

Relatórios e Pesquisas

Para saber mais:

Pronto. Agora você não tem desculpa que tem medo da internet por falta de informação. Boas leituras!

Autenticação multifator

A autenticação multifator é algo que tem se popularizado rapidamente nos sistemas de internet banking (transações bancárias pela internet) e outras aplicações de identidade digital no Brasil e no mundo.

Espero que com esse artigo você tenha uma visão prática e abrangente dos fatores de autenticação, um aspecto da segurança que a maioria das pessoas utiliza de alguma forma em seu dia a dia.

Vamos começar definindo autenticação e seus fatores.

Autenticação

Autenticação, no âmbito da segurança digital, é o procedimento que confirma a legitimidade do usuário que realiza a requisição de um serviço, para o controle de acesso identificado. Este procedimento é baseado na apresentação de uma identidade junto com uma ou mais credenciais de confirmação e verificação.

Na definição objetiva de Wel. R. Braga, o processo de autenticar usuários consiste em determinar se um usuário é quem ele afirma ser.

A identidade ou identificador do usuário pode ser um nome criado especificamente para determinado ambiente, serviço ou aplicação, que se costuma denominar login ou logname. O login pode ser textual (um codinome) ou numérico (similar a um número de identidade).

Em algumas situações, pode-se aproveitar um identificador que o usuário já possui como login. Logins textuais muitas vezes permitem que se utilize o nome de uma conta de e-mail do usuário. Logins numéricos podem utilizar um número de documento de identidade como CPF, número do título de eleitor, RG, número de registro profissional (OAB, CRM, CREA etc.), número de inscrição do usuário no serviço, matrícula funcional etc.

Para confirmar a credencial, usa-se um elemento que deve casar unicamente com o identificador do usuário. É aí que entra o fator de autenticação.

Os fatores de autenticação para humanos são normalmente classificados em três casos:

  • algo que o usuário sabe: senha, PIN (número de identificação pessoal), frase de segurança ou frase-passe, que normalmente deve ser apenas memorizada e não escrita, para garantir o segredo que torna o fator seguro;
  • algo que o usuário possui/tem: certificado digital A3 (token ou smart card), cartão de códigos numéricos, token de segurança (gerador eletrônico de senhas únicas temporais), token por software, códigos enviados por telefone celular (SMS) etc.;
  • algo que o usuário é: impressão digital, padrão de retina, sequência de DNA, padrão de voz, padrão de vasos sanguíneos, reconhecimento facial, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico.

A autenticação mais comum é a combinação de login e senha, ou seja, utilizando apenas um fator. A senha memorizada, contudo, tem sua fragilidade. Tanto a identificação (login) quanto a senha (este fator “algo que você sabe”) podem ser revelados ou descobertos, permitindo a fraude de utilização ilegítima de identidade de uma pessoa por outra. Pode ainda ser esquecida, causando transtornos ao usuário, pois exigirão alguma forma de redefinição ou reposição de uma nova senha.

Por isso, bancos e outras instituições têm cada vez mais recorrido à utilização de mais um fator, como veremos na seção seguinte.

Referências:

Fatores de autenticação e aplicações bancárias

Vistos os conceitos básicos, vamos comentar os fatores de autenticação exemplificados por sua utilização pelos bancos, em caixas eletrônicos e, principalmente, nas aplicações de internet banking.

O cartão magnético sempre foi utilizado pelos bancos. Além de armazenar a identificação numérica do usuário (banco, agência e conta), que é automaticamente lida nos caixas eletrônicos, ele é um fator de autenticação física do tipo “algo que você possui”. É combinado com a senha do cartão, fator do tipo “sabe”.

Com o aumento das fraudes e golpes em caixas eletrônicos, desde malfeitores próximos que observavam a senha digitada até o uso de equipamentos eletrônicos de fraude instalados nos caixas, os bancos começaram a inovar.

Algo que você sabe

Primeiro, vieram as técnicas de fornecimento indireto da senha. Menus de escolha mostrando mais de um dígito em cada opção. Isso faz com que um observador não saiba qual dos dígitos de cada opção é o da senha, sem reduzir a segurança — em termos matemáticos, em uma senha de 6 algarismos, escolhê-los em pares reduz as possibilidades de 10 dígitos para 5 pares, mas cada escolha (par) contém 2 opções de dígitos, então 106 = 56 * 26 = 1 milhão.

Depois, veio o uso de mais de um fator na autenticação, o que caracteriza a chamada autenticação multifator que intitula este artigo. Primeiro, a criação de mais de uma senha, como senha do cartão, senha eletrônica de internet, senha de telefone, código mnemônico de letras. Em internet banking, o banco costuma solicitar uma senha eletrônica para autenticar no início, e depois pede a senha do cartão para confirmar uma transação bancária.

Ainda assim, os fatores do tipo “sabe” têm o problema de serem basicamente um segredo único memorizado, que pode ser descoberto involuntariamente, ou mesmo repassado voluntariamente. Saber algo não é um fator intrinsecamente único e individual. Ainda tem o problema de que quando são escolhidos pelo próprio usuário, este pode por comodidade ou preguiça escolher para senha um dado comum (como usar uma data de aniversário como senha numérica) e que pode ser conhecido por outras pessoas.

Algo que você possui

Então, os bancos passaram a acrescentar um fator do tipo “possui”. O fator desse tipo costuma ter o objetivo de transpor códigos que antes eram escolhidos e memorizados para dispositivos que transportam códigos seguros.

O primeiro fator desse tipo costuma ser o cartão de códigos. Um cartão impresso com vários códigos numerados (em geral, são 50 a 70 códigos de três ou quatro dígitos) é fornecido pelo banco e, na autenticação ou confirmação de uma transação, ele solicita um desses códigos. Bancos como Bradesco, Itaú e Real utilizam este fator. As fraudes sobre esses cartões são mais fáceis do usuário identificar, pois em geral solicitam que o usuário forneça todos os códigos numéricos do cartão ao mesmo tempo, e não apenas um por vez como o banco faz. O caso típico desse tipo de fraude é se travestir de uma operação de recadatro ou confirmação de segurança do próprio banco.

Outro fator que alguns bancos passaram a utilizar foi um dispositivo físico de geração de senhas únicas a intervalos de tempo. Tecnicamente conhecidos como dispositivos OTP (one time password), eles funcionam assim: em um mecanismo eletrônico, o dispositivo gera um código numérico válido por um período de tempo, em geral um minuto. Depois desse período, o dispositivo automaticamente gera outro código. A fórmula matemática utilizada para a geração desses números é conhecida pelo banco e sincronizada com seus computadores centrais, mas é um técnica complexa e praticamente imprevisível, denominada função pseudo-aleatória.

Bancos como antigo Unibanco (“multisenha”) e Itaú (“iToken”) utilizaram este fator (ilustrações a seguir). Apesar de seguro, ele tem alguns inconvenientes práticos. Para o banco, representa um custo extra da aquisição desse dispositivo para cada cliente, o que tem que compensar frente à redução de prejuízo em fraudes. Para o usuário (cliente), é um penduricalho a mais que ele tem que guardar e transportar consigo para onde precisar usar.

Multisenha Unibanco iToken Itaú pessoa física iToken Itaú pessoa jurídica (RSA SecurID)

Outra variante do fator “possui” tem sido o envio de códigos para o celular do cliente via SMS. Similar ao dispositivo OTP, esse fator permite que um código diferente seja gerado a cada uso. O que o cliente deve efetivamente possuir de forma única é o seu telefone celular. Como hoje em dia as pessoas em geral portam consigo o celular, isso evita ter que se carregar o dispositivo OTP. Essa técnica exige uma abrangência e eficiência da rede celular da operadora, pois o usuário terá de receber o código via SMS no momento em que está realizando uma operação bancária eletrônica. Bancos como Citibank, Itaú e Banco do Brasil tem utilizado esse fator.

Para que um fator do tipo “possui” utilizando um dispositivo físico como o OTP ou celular seja utilizado indevidamente, é preciso que o pretenso usuário ilegítimo (fraudador) consiga obter o dispositivo, minimizando o risco de fraudes eletrônicas à distância.

Certificação digital

Merece destaque o fator de autenticação usando certificado digital. Certificado digital é um mecanismo genérico, padronizado e amplamente utilizado para identificação e assinatura digital seguras nas mais diversas aplicações. Funciona como uma carteira de identidade digital. São emitidos por entidades credenciadas confiáveis chamadas autoridades certificadoras (AC) e autoridades de registro (AR). Exigem a comprovação de documentos do usuário titular para emissão, e uma série de procedimentos técnicos e operacionais de segurança.

O governo Brasileiro definiu a estrutura nacional de emissão de certificados digitais, a ICP Brasil (Infraestrutura de Chaves Públicas Brasileira), seguindo o padrão mundial já estabelecido. Através da ICP Brasil, pessoas físicas podem emitir o seu e-CPF e pessoas jurídicas (empresas) o e-CNPJ. O uso de certificados digitais tem sido impulsionado no Brasil pelo governo, em especial:

Entre aplicações de internet banking de pessoa física em geral, só tenho conhecimento do Banco do Brasil que atualmente permite a utilização de certificado digital como forma de autenticação do cliente. (Podem haver outros bancos utilizando, mas desconheço.)

[photopress:bb_autentica_certificado.png,full,centered]

Este fator não é necessariamente emitido pelo banco (para o banco emitir, deve ser AR devidamente credenciada a uma AC), mas sendo um padrão mundial estabelecido, ele consegue identificar seu cliente pelo nome completo e pelo CPF contidos na identidade digital.

O certificado digital tem diversas vantagens. Sendo um dispositivo de identidade universal amplo, serve não apenas para aplicações bancárias mas para qualquer uso de identificação digital da pessoa que seja disponibilizado.

O certificado do tipo A3 utiliza um dispositivo físico — um chip que pode ser em um token USB similar a um pen drive, ou em um cartão inteligente smart card (que exige uma leitora própria) — funcionando portanto como fator tipo “possui”. Existe também um certificado tipo A1 via software que é gravado no disco do computador, mas é considerado um pouco menos seguro.

Token da marca Alladin Smart card

O certificado digital é baseado na técnica de segurança digital chamada criptografia de chave pública, onde existe um código secreto (chave privada) que fica inviolável dentro do dispositivo físico do certificado A3, e uma contraparte para identificação pública do titular do certificado (chave pública), preservando o segredo da chave privada.

O uso da chave privada é protegido por uma senha (PIN) ou mesmo por um leitor biométrico (atualmente, os certificados digitais com biometria mais difundidos acoplam um leitor de impressão digital). Ou seja, o do certificado digital embute múltiplos fatores de autenticação.

O empecilho essencial para popularizar o certificado digital como fator de autenticação é o custo. Atualmente, a emissão de um certificado A3 com validade de três anos custa algo entre 100 e 300 reais, incluindo o custo do dispositivo (token ou smartcard). Por medida de segurança, essa identidade digital precisa ser renovada ou reemitida ao término de cada período de vigência, a um custo que hoje gira em torno de 100 reais.

No sistema da novo documento de identidade brasileiro, o Registro de Identidade Civil (RIC), há a possibilidade de ele incorporar um certificado digital. Iniciativas como essa para popularização de meios de armazenamento de certificado digital, mais a disseminação de serviços públicos (governamentais) com uso destes, podem levar nos próximos anos a uma grande popularização que leve a um aumento de escala e consequente redução drástica do custo. Essa é uma grande esperança!

Para saber mais:

Algo que você é

E a biometria como fator de autenticação? Teoricamente, parece ser o mais seguro e prático. Seguro porque parece difícil fraudar características físicas pessoais exclusivas como padrões de impressão digital, retina, veias, face etc. Prático porque você não precisa memorizar nem possuir nada, são características físicas que existem em seu corpo.

Mas dos três fatores, este é o que ainda possui os maiores desafios. Na prática, padrões biométricos ainda são sujeitos a problemas de abrangência e precisão. Não reconhecimento de uma pessoa legítima (“falso negativo”), a possibilidade mesmo que remota de identificar uma pessoa como a característica biométrica de outra (“falso positivo”), e a dificuldade de se estabelecer padrões biométricos que funcionem de forma efetiva para todos. Só para se ter ideia, na impressão digital, que é um dos padrões biométricos mais conhecidos e utilizados, uma pessoa muito jovem, idosa, que utiliza produtos químicos ou que faça trabalhos manuais duros que desgastem a pele podem simplesmente não ter uma digital legível de forma precisa.

Outro desafio preponderante de decisão da viabilidade e popularização no mercado é o alto custo. Dispositivos de leitura biométrica ainda são muito caros para se popularizar em larga escala atualmente.

Política de segurança da informação

Sua empresa quer ou precisa elaborar uma política de segurança da informação, mas não sabe nem por onde começar? Eis aqui algumas dicas.

[photopress:bmis.png,full,centered]
Créditos da figura: ISACA, 2009, An Introduction to the Business Model for Information Security (PDF).

Uma política de segurança da informação em geral é composta de diretrizes, normas e procedimentos que visam garantir confidencialidade, integridade e disponibilidade da informação (documental) que é produzida, recebida, utilizada, processada, armazenada e descartada por uma instituição. A gestão da segurança da informação envolve pessoas, processos, tecnologia e ambiente.

Deve também, idealmente, instituir um grupo ou comitê formal e permanente para centralizar o gerenciamento e orientação das atividades relativas a segurança da informação na organização. Para maximizar a autonomia e eficácia desse comitê gestor de segurança da informação, este deve estar ligado ao mais alto nível hierárquico de gestão da organização, como sua presidência ou comitê estratégico/executivo.

Não existe um modelo padrão de política de segurança da informação, porque esta tem que refletir os valores e a cultura da organização a qual se aplica, e levar em conta o negócio e o contexto em que ela está inserida. Ou seja, a política de SI deve ser construída sob medida para cada organização.

As normas ABNT e ISO/IEC relativas a segurança da informação fornecem conceitos e fundamentos essenciais que podem e devem embasar uma boa política de segurança da informação.

Mas a partir daí, as diretrizes, normas e políticas deve ser construídas em resposta a questões essenciais, como:

  • Quais são os ativos e as informações de valor para a organização e seu negócio e que devem ser protegidos?
  • Quais são os riscos aos quais a organização e suas informações estão submetidas, quais deles devem ser abordados e mitigados, e quais serão simplesmente aceitos?
  • Quais são os aspectos e parâmetros relevantes para se definir o balanceamento entre: investimentos em segurança da informação versus valor dos ativos a serem protegidos e riscos de perdas envolvidos; ativos e serviços a serem protegidos versus vulnerabilidades e aspectos mais críticos a serem abordados na sua segurança; conveniência e facilidades versus proteção e controle.

O Sans Institute disponibiliza em seu portal uma série de documentos (PDF, em inglês) úteis para auxiliar na composição de uma política de segurança da informação, com foco em tecnologia da informação (TI):

Principais Normas ABNT NBR e ISO/IEC aplicáveis:

Outras referências úteis:

Fraude em nome de Diners

Relato aqui mais uma fraude eletrônica que observei hoje, e destaco os pontos importantes.

A mensagem de fraude é esta:

[photopress:fraude_diners.png,full,centered]

Assunto: Parabéns! Seu Diners foi sorteado para participar da promoção Presente Toda Hora.
Remetente (alegado): dinersbrasil@open.art.br
Imagem da mensagem hospedada em: http://lh3.ggpht.com/…/dinersdef32x.jpg
Link de destino apontado pela mensagem: http://www.redirecionadiners.com/www.diners.com.br.php
Link leva ao download de um executável Windows: Diners.exe

Como reconhecer que se trata de uma fraude do tipo “pesca trouxas” (phishing scam):

  • Tema suspeito. Faça a si mesmo perguntas como as seguintes: Você possui esse cartão? Inscreveu-se em alguma promoção? Forneceu e autorizou este endereço de e-mail a receber notificações? Existe mesmo essa promoção, e consta divulgada no site oficial do cartão? Fui sorteado, não está fácil demais? Lembre-se do ditado: “Quando a esmola é grande, o santo desconfia.”
  • Remetente suspeito (embora isso pudesse ser forjado). Por que o domínio “open.art.br”? Por que não um endereço do domínio do site oficial do cartão?
  • Link de destino suspeito, embora pareça verossímil a um leigo.
  • E o principal: Ao invés de levar a uma página de informações, ou cadastro, leva ao download de um executável. Desde quando uma promoção via internet vai exigir instalar e/ou executar um programa em seu computador, para o cadastro? Por que não apenas levar a uma página web de adesão, de preferência no site oficial do cartão? Downloads, ainda mais de arquivos executáveis (programas), são SEMPRE suspeitos até que se prove em contrário.

Aí o preguiçoso e crédulo pode pensar: Se é um arquivo executável, então o antivírus deve detectar vírus ou outro código malicioso.

Não é bem assim. Lembre-se que o antivírus em geral é como um “agente de polícia que procura bandidos baseado exclusivamente em uma lista de procurados; se o sujeito não está na lista, não é considerado bandido ou suspeito”. A “lista de procurados” são os dados recebidos nas atualizações do antivírus.

Se o antivírus não estiver recentemente atualizado, ou se o código malicioso ainda é muito recente e “o bandido não foi denunciado, descoberto e fichado pela polícia”, ou seja, ainda não foi detectado e analisado pelo fabricante do antivírus, o malware não constará na lista e o antivírus não detecta!

Esse é exatamente o caso. A fraude é muito recente, e analisei o arquivo executável nos 43 utilitários antivírus do site VirusTotal.com e nenhum deles ainda reconhece como malicioso no momento em que escrevo este artigo.

Veja reprodução do resultado atual da análise:

[photopress:malware_diners_virustotal.png,full,centered]
(PDF do resultado)

A conclusão é a mesma de sempre: Na internet, desconfie sempre, tenha muito cuidado!

Hackers atacaram site da MasterCard, diz imprensa britânica

Ofensiva seria represália a bloqueio de doações para o WikiLeaks.
Outros sites envolvidos com o caso também sofreram ataques.

Fonte: Hackers atacaram site da MasterCard, diz imprensa britânica
Do G1, com agências internacionais.

Hackers atacaram nesta quarta-feira (8) o site da empresa de cartões de crédito MasterCard, no que seria uma retaliação ao bloqueio de doações para o site WikiLeaks, segundo a BBC, o “Guardian” e outras publicações britânicas.

A empresa não comentou. O site estava fora do ar no final da manhã.

Um grupo chamado “Anonymous” havia ameaçado nesta semana atacar empresas que bloquearam o WikiLeaks — centro de polêmica após divulgar documentos da diplomacia dos EUA.

O grupo denuncia um suposto complô para “censurar” o WikiLeaks na web.

A notícia do G1 ainda cita outros ataques que podem estar relacionados a represálias em defesa do WikiLeaks, e apresenta um interessante infográfico interativo das principais revelações dos documentos diplomáticos dos EUA vazados pelo WikiLeaks, organizados no Mapa Mundi por países citados/relacionados.

O australiano Julian Assange, de 39 anos, fundador do site WikiLeaks, foi preso ontem (7) pela Polícia Metropolitana de Londres, na Grã-Bretanha.

Para saber mais:

LastPass vs KeePass – round 1

Nas minhas primeiras impressões comparando os gerenciadores de senha (e outros dados privados) LastPass e KeePass, sai na frente o LastPass por enquanto. Veja a seguir.

Instalação e configuração inicial

LastPass

O LastPass mostra facilidades desde o download e a instalação: O link para Download já sugere a versão recomendada para a plataforma do usuário (Windows, Mac, Linux, dispositivos móveis) [+]. Tudo bem que não me ofereceu de cara a versão 64-bits otimizada para o meu Windows [-], mas o link “todos os downloads para esta plataforma” trouxe essa opção. O LastPass Universal Windows Installer 1.68.2 é em inglês [-], mas simples de instalar.

[photopress:lastpass_01.png,full,centered]

Ofereceu a opção de já instalar plug-ins de integração com os navegadores Web instalados (Internet Explorer e Firefox) e de substituir os respectivos gerenciadores de senha destes [+]. A instalação permitiu importar facilmente todas as senhas armazenadas no gerenciador do Firefox (bastou me solicitar a senha mestre deste) [+].

O programa instalado inclui interface localizada em português (e muitos outros idiomas) [+]. Nos dois navegadores Web, surgiu na barra de ferramentas o botão do LastPass, com seus menus e recursos, comportando-se de forma bem similar em ambos [+].

KeePass

Já o KeePass, em Downloads, oferece opção do KeePass 1.7 Classic Edition, e do KeyPass 2.11 Professional Edition, ambos gratuitos/livres [+] e apenas para Windows [-]. A segunda opção requer o Microsoft .NET Framework 2.0 ou superior, mas em compensação traz mais recursos, além de suportar também Linux e Mac OS X [+] se estiver instalado o Mono Framework 2.6 ou superior (projeto de software livre que implementa a especificação do .NET Framework em plataformas tipo Unix). Na dúvida sobre qual opção escolher, o link Edition Comparison Table compara as características das edições Classic e Professional lado a lado [+]. Escolhi o Professional. Existem também opções de ports contribuídos ou não oficiais para diversas plataformas móveis e o KeePassX for Linux / Mac OS X.

Oposto ao LastPass, o instalador do KeyPass 2.11 tem opção em Português do Brasil [+], mas o software instalado não traz essa opção nativamente no pacote [-], sendo necessário para isso baixar um ZIP à parte, referente à tradução de interface contribuída pela comunidade, descompactar manualmente na pasta da aplicação [-] e selecionar o novo idioma (View > Change language) no programa.

Princípios básicos

LastPass

O LastPass é voltado para o armazenamento seguro e centralizado de senhas e integração com navegadores e páginas Web. É necessário criar uma conta on-line gratuita onde as informações são armazenadas, o que possibilita sincronizar automaticamente seus dados e acessá-los de diferentes computadores e dispositivos, a qualquer momento.

Na navegação Web, o LastPass oferece para armazenar e preencher automaticamente dados de usuário e senha de acesso (autenticação) em qualquer site [+].

KeePass

O KeePass tem uma interface agradável e objetiva [+], exibindo em sua janela uma listagem em árvore das senhas (inicialmente vazia só com uma entrada exemplo, já que o programa não importa nada automaticamente).

[photopress:keepass_01.png,full,centered]

Diferente do LastPass, não há para o KeePass uma conta on-line [-], o que contudo privilegia a privacidade máxima no armazenamento dos dados [+]. A proposta original de mobilidade entre computadores do KeePass é através do seu uso em um pendrive USB, já que sua instalação não envolve arquivos de DLL ou configurações em pastas de sistema nem entradas no registro do Windows [+]. A base de dados consiste em um único arquivo que pode ser facilmente transferido a outro computador ou dispositivo.

Quanto a autopreencher algum formulário na Web, precisou o comentário do amigo Paulinho no artigo anterior me antecipar que havia o recurso Auto-Type, e o tutorial Primeiros Passos me ensinar o atalho Ctrl+V e outros meios, mas a automação de preenchimento na Web não é tão integrada com os navegadores quanto o LastPass [-]. Não cheguei a experimentar o plug-in de terceiros KeeFox que promete integrar o KeePass ao Firefox.

O KeePass tem uma arquitetura aberta a plug-ins, com diversos disponíveis para download [+].

Conclusão do round 1

Neste primeiro round, sai na frente o LastPass por suas facilidades de instalação e de integração.

Gerenciador de senhas

Boas práticas de segurança da informação orientam a você a utilizar senhas suficientemente grandes e complexas, combinando letras, números e símbolos. Orientam a não utilizar datas ou outras informações pessoais como base para a senha. Mais ainda, orientam a não utilizar a mesma senha em diversos locais.

Você busca seguir todas essas orientações e rapidamente se vê utilizando dezenas ou centenas de senhas diferentes e difíceis de se memorizar. Agregue isso à enorme quantidade de dados sigilosos que temos de manter, como contas bancárias, cartões de crédito, documentos etc.

E como gerenciar de forma segura esse caos, e ainda assim conseguir praticidade na hora de utilizar essas informações? Ter essa informação sempre a mão, não importa se você está usando o sistema operacional, navegando na internet, ou em trânsito tendo por perto um smartphone ou apenas um pendrive.

A solução é um programa gerenciador de senhas e dados sigilosos que seja poderoso, confiável e multiplataforma.

Os dois principais programas disponíveis são software livre (gratuitos e abertos), poderosos e estão disponíveis para diversos sistemas operacionais de computadores e smartphones:

  • LastPass – oferecendo grande integração com navegadores Web e sincronização com repositório remoto centralizado para uso unificado entre diversos computadores e dispositivos, suporta Windows, Mac e Linux, Internet Explorer, Firefox, Opera e Chrome, iPhone, BlackBerry, Windows Phone, Symbian e Android.
  • KeePass – prima por uma interface desktop amigável, originalmente para Windows, mas com ports para PcoketPC, Java, Linux, MacOS X, pendrives U3, iPhone, BlackBerry, Android.

Qual é o melhor? Você encontrará opiniões diversas na Internet, por exemplo:

Vou optar por avaliar eu mesmo os dois e ver se chego a uma conclusão. Enquanto isso, opiniões dos meus leitores são MUITO bem vindas. Qual gerenciador de senha você usa e prefere, e porque?

Boletim de Segurança da Kaspersky para 2009

A equipe de analistas de segurança da empresa russa Kaspersky, fornecedora de um dos mais eficientes e conceituados antivírus do mercado e outros produtos para segurança de computadores e redes, divulgou em 17 de fevereiro deste ano o boletim anual de segurança relativo a 2009.

O Kaspersky Security Bulletin 2009 é dividido em três partes:

  1. Malware Evolution 2009, por Eugene Aseev, Alexander Gostev e Denis Maslennikov. Analisa tendências dos últimos anos, análise de 2009 (aumento da sofisticação, epidemias, fraudes, malware para plataformas e dispositivos não usuais), previsões.
  2. Statistics, 2009, por Eugene Aseev e Alexander Gostev. As estatísticas abordam programas maliciosos na Internet (ataques via Web), e os Top 20 em 2009 para códigos maliciosos na Internet, países hospedando malware e países atacados.
  3. Spam Evolution 2009, por Elena Bondarenko, Darya Gudkova e Maria Namestnikova. Aborda uma visão geral do ano, spam no tráfego de correio, fontes de spam, categorias, fraudes (phishing, scam), tipos e tamanhos, métodos e truques dos spammers, spam nos sites de redes sociais, malware em email, e conclusões.

Os dados e informações, como sempre infelizmente, assustam.

Novos malwares por ano

Além do boom de novos malwares observados em 2008 — devido a fatores como rápida evolução da criação de virus na China, evolução das tecnologias de infecção de arquivos, e solidificação de vetores de ataque –, 2009 manteve taxa de surgimento de malware próxima a 2008 e ainda os programas maliciosos se tornaram significativamente mais complexos e sofisticados.

Com a evolução e popularização dos smartphones, observa-se um razoável movimento de surgimento de malware para dispositivos móveis. Embora o número absoluto de novos malwares em 2009 não pareça grande, 257, representa um aumento próximo a 80% em relação a 2008.

China aparece como hospedeiro de mais da metada de todo malware mundial (52,7%), seguida por Estados Unidos (19,02%). Em terceiro e quarto no ranking vem Países Baixos (5,86%) e Alemanha (5,07%). Brasil aparece em décimo-terceiro da lista, responsável por apenas 0,44%.

A China também é o maior alvo de ataques, 46,75% deles. EUA também são segundo como alvo, mas em apenas 6,64% do total. Rússia em terceiro (5,83%), Índia quarto (4,54%), seguidos por Alemanha (2,53%), Reino Unido (2,25%), Arábia Saudita (1,81%) e, em oitavo, Brasil (1,78%).

Softwares populares têm suas vulnerabilidades mais exploradas. Não por acaso, Microsoft (Office, serviços XML), Apple (QuickTime + iTunes), Adobe (Flash Player) e Sun (Java) fecham o ranking das 20 vulnerabilidades mais críticas que responderam por 90% dos arquivos/aplicações vulneráveis no ano.

Ranking de vulnerabilidades

Considerando a base instalada de programas, os aplicativos mais perigosos de 2009 foram, nessa ordem:

  1. Apple QuickTime
  2. Microsoft Office
  3. Adobe Flash Player

Percentual de spam no tráfego de email

Quantos aos insuportáveis spams, é muito triste constatar que mais de 80% de todo o tráfego de correio eletrônico no mundo é de lixo.

Países origem de spam

Tipos de spam

Estados Unidos (16%), Rússia (8,5%) e Brasil (7,6%) são as maiores origens de spam, proliferando a divulgação de medicamentos (“viagra” e afins), diplomas e outros lixos.

Fraudes em spam

No segundo semestre de 2009, quase 10% do spam envolveu mensagens fraudulentas, em phishing e scam. Eu apostaria que especificamente no Brasil, esse percentual deve ser bem maior, pela quantidade enorme de fraudes que vejo circular por aqui.

Mobilidade ainda não combina com segurança

Houve um tempo — passado “remoto” da informática — em que notebook e smartphone (que era quase sinônimo de BlackBerry) era coisa cara, usada só por altos executivos, profissionais que realmente dependiam da mobilidade, e viciados em tecnologia. Hoje, existe uma profusão de notebooks, netbooks e smartphones para todos os gostos, necessidades e bolsos. Os notebooks vem inclusive tomando o lugar dos computadores desktop nas casas e nas empresas.

A principal inteligência de um celular “smart”, além das funções convencionais de um telefone celular, era lidar com correio eletrônico (e-mail). Atualmente, telefones celulares topo de linha são munidos de processadores e sistemas operacionais poderosos, cartões de memória com grande capacidade de armazenamento e conectividade total, se tornando verdadeiros computadores que se carrega no bolso.

O preço dos smartphones ainda é salgado em relação a um celular simples, mas tome-se o exemplo da Apple que induz uma fascinação no mercado fazendo um iPhone se tornar objeto de desejo de boa parte dos mortais, pelo simples fato de que “é muito legal”.

Caos da segurança

Com todo esse imenso poder dos dispositivos móveis, com custos cada vez menores e escala crescente em ritmo acelerado, vem o caos da segurança da informação.

Cada vez mais, altos executivos e funcionários em geral querem trabalhar remotamente e dispor de todos os recursos em qualquer lugar, pressionando as empresas a disponibilizar notebooks, redes sem fio (Wi-Fi, 3G etc.), acesso remoto e outros recursos de mobilidade corporativa. Querem usufruir dessa comodidade e poder, mas a TI tem que se virar para continuar garantindo segurança, controle e disponibilidade neste audacioso ambiente ilimitado e diverso.

Muitas empresas impõem restrições ao uso de notebooks e outros equipamentos pessoais e de prestadores de serviço dentro da rede corporativa, devido à dificuldade para as áreas gestoras de tecnologia da informação (TI) em garantir as políticas e mecanismos de segurança, o controle e os demais padrões corporativos nestes dispositivos que, além de móveis, são de propriedade e responsabilidade externas.

Quando se chega aos smartphones, então, a fronteira entre o particular e o corporativo fica ainda mais difusa e complexa. Se o CEO adquire um iPhone particular e quer acessar o e-mail corporativo através dele, até quando é razoável a TI dizer não?

Os riscos de vazamento de informação se multiplicam em escala exponencial diante de toda essa mobilidade. Se há redes sem fio ou acesso remoto, o controle para evitar acessos indevidos por invasores precisa ser redobrado.

Além disso, dispositivos móveis são mais suscetíveis a extravio, furto e roubo, e com eles se vai toda a informação contida, que tende a ser muito mais valiosa do que o próprio aparelho. Lembra-se do rebuliço gerado pelo furto de laptops da Petrobras com informações sigilosas em 2008?

Reflexões

Há como a TI garantir o uso de senhas, certificados digitais, biometria, criptografia, antivírus, firewall, VPN e outros recursos de segurança, controle e proteção da informação, de forma contínua, prática, efetiva e viável? E há como conscientizar e preparar os usuários para manterem sempre regras e procedimentos seguros neste mundo móvel? Em geral segurança anda na contramão da comodidade. E tem complexidade e custos, muitos custos.

Para os profissionais de gestão de tecnologia e de segurança das empresas continuarem sua reflexão — e preocupação, beirando o desespero — recomendo ler a série de matérias da IT Web no Especial smartphones, por Richard Dreger e Grant Moerschel, da InformationWeek EUA, 15/06/2010. As reportagens são oriundas do estudo sobre gerenciamento de dispositivos móveis e segurança da InformationWeek Analytics 2010.

Os dez mandamentos das redes sociais

Fonte: especial para IT Web, por Tagil Oliveira Ramos, 14/06/2010.

As dicas estão baseadas nas melhores práticas da Web 2.0.

  1. Não escreva online o que não falaria pessoalmente.
  2. Não faça de seu post uma granada. A vítima pode ser você.
  3. Não cite o nome de ninguém nem de nenhuma instituição em vão. Calúnia, injúria e difamação são crimes.
  4. Não roube as ideias dos outros. Cite suas fontes. Plagiar é feio e ilegal.
  5. Não abuse nos palavrões e termos de baixo calão. Eles só têm graça quando bem-aplicados.
  6. Não pratique spam (propaganda não-autorizada). Mas enviar uma mensagem interessante para sua rede é mais do que saudável.
  7. Não propague ou divulgue correntes, boatos (hoax), fraudes ou mentiras. Informe-se na própria rede. Sempre tem alguém que sabe.
  8. Não publique opiniões preconceituosas. A rede é um ambiente democrático, com espaço para todos.
  9. Não publique suas informações privadas. Os marginais e mal intencionados estão de olho.
  10. Não invada a privacidade de ninguém. Dá processo e muita dor de cabeça.

Acompanhe a série especial sobre etiqueta nas redes sociais no IT Web.
Especial etiqueta online: a fronteira é tênue entre público e privado e entre pessoal e profissional; e várias outras matérias.