O cenário é a conferência de segurança SNA, em San Francisco, Estados Unidos. Em sua palestra, o vice-presidente de Computação Confiável da Microsoft, explica que a questão da segurança digital é pública, como a saúde ou a segurança física mesmo. Até aí, eu concordo. Mas então, Charney sugere que uma das soluções pode ser a criação de um imposto, para bancar iniciativas governamentais de segurança digital.

Alguém mais se arrepiou ao ler essa sugestão? O Estado cuidar de nossa segurança digital? Big Brother é pouco, em face a isso.

Charney, meu caro amigo, isso não é solução, é gambiarra. É tirar a responsabilidade das mãos das empresas produtoras de software e do próprio usuário - que hoje já é desleixado nesse quesito. Um perigo (além de, convenhamos, uma grande idiotice)!

Não sou eu quem está dizendo, a opinião é do Charlie Miller – que é tudo menos palpiteiro. Ele é um Hacker do Bem (dizem) e vencedor duas vezes seguidas da competição PWN2OWN realizada anualmente na CanSecWest, evento de segurança no Canadá.

A próxima competição começará dia 24 de Março. Segundo as regras os participantes recebem máquinas com sistemas operacionais zerados e devem hackeá-las. A brincadeira é séria, São US$100 mil em prêmios, cada categoria o vencedor leva US$10 mil.

Agora a surpresa (pelo menos para alguns) em uma entrevista para o site OneITSecurity, Charlie respondeu sem rodeios à pergunta:

“Qual a combinação mais segura de sistema operacional e navegador?”

Diz ele:

“Chrome ou IE8 rodando no Windows 7 sem Flash instalado. Provavelmente não há diferença significativa entre os navegadores. O principal é não instalar o Flash”

Para desespero dos fãs da Apple o especialista em segurança (que venceu duas vezes hackeando o Safari) respondeu também quando questionado sobre qual sistema operacional seria mais difícil de hackear, Windows 7 ou Snow Leopard:

“Windows 7 é um pouco mais difícil, pois tem ASLR (Address Space Layout Randomization) e uma superfície de ataque reduzida (por exemplo, não vem com Java ou Flash por default). Windows costumava ser mais complicado por ter ASLR e DEP (data execution prevention) mas recentemente uma palestra na Black Hat em Washington (DC) mostrou como contornar essas proteções em um navegador no Windows”

Eu falei que os pinguins estavam de fora? Em termos, este ano não há Linux entre os sistemas operacionais participantes da Pwn2Own. A entrevista chega nesse ponto e é feita a pergunta:

“Na Pwn2Own 2010 ainda não há sinal de Linux como um possível alvo. É difícil demais achar exploits para Linux ou um sistema não-comercial não é atraente para os caçadores de exploits?”

Com a palavra, Charlie Miller

“Não, Linux não é mais difícil, de fato é provavelmente mais fácil [de achar exploits]. embora isso dependa do sabor de Linux que estamos falando. Os organizadores não incluíram Linux porque não muitas pessoas o usam no desktop. E outra coisa, as vulnerabilidades estão nos navegadores e a maioria deles rodam no Linux ou no Windows”

A lógica do Charlie é bem evidente: Quanto mais tralhas instaladas, pior. São camadas de complexidade onde temos que levar em conta, do ponto de vista de segurança a interação entre cada uma delas. Já houve falhas, nos tempos sombrios do Internet Explorer onde uma IMAGEM malformada gerava um estouro de memória e podia ser explorado para rodar código externo. Nem JPEGs eram seguros. Pelo visto esse tempo já passou.

Isto é, se o usuário for esperto o bastante para não baixar o fotosdasandypelada.exe ou as instruções para votar 10x seguidas no BBB usando Linux, que incluem um shellscript, SUDO, etc…

Fonte: DownloadSquad

Quinta-feira, SeaWorld, nos Estados Unidos. Uma baleia orca matou sua treinadora, Dawn Brancheau, durante uma apresentação. A notícia correu o mundo, e refletiu-se na Internet: em pouco tempo, o assunto já era o mais buscado no Google. E em igual velocidade, as páginas de phishing e rickroll apareceram.

Esse cenário demonstra duas coisas: 1) as pessoas em geral adoram ver catástrofes, sofrimento alheio, coisas ruins; e 2) essas mesmas pessoas, na ânsia de satisfazer esse sentimento macabro, acabam se tornando iscas fáceis para crackers e estelionatários. É assim que golpes são feitos, redes de PCs zumbis são criadas, e todo tipo de malware se dissemina pela Internet. Esse tipo de cracker age mais ou menos como blogger caçaparaquedista: escreve o que o povo quer, e espera as vítimas pegarem sua isca através de motores de busca. Isso funciona. PCs infectados e contas bancárias generosas de caçaparaquedistas são a prova cabal.

O MakeUseOf publicou um ótimo guia para criar senhas fortes e fáceis de serem lembradas. Como elas, as senhas, são a chave para acessar a maioria dos serviços web, dos mais simples e dispensáveis, até aqueles vitais para o trabalho, gastar um tempinho lendo tais dicas e aplicando-as ao leque de sites que pedem-nas é tido como um bom investimento.

Existem algumas regras básicas para a criação de uma senha, a saber:

• A senha não pode constar no dicionário;
• A senha precisa conter números e símbolos especiais;
• A senha precisa misturar letras maiúsculas e minúsculas;
• A senha precisa ter, no mínimo, 10 caraceteres;
• A senha não pode ser “adivinhável” através de dados pessoais, como data de nascimento e endereço.

Seguindo esses cinco mandamentos, a probabilidade de ter uma senha descoberta é muito baixa. Mas mesmo com toda essa precaução, falta uma coisa primordial: como lembrar dela.

Hoje, 9 de fevereiro, é realizado no mundo o Safer Internet Day, um dia reservado para ações de conscientização dos usuários e empresas ligadas à Internet sobre a segurança na rede. A ideia foi da INSAFE, uma organização da União Européia, criada e mantida com o objetivo de promover o uso consciente da Internet. No Brasil, a data é uma iniciativa da Safernet Brasil, que tem o mesmo objetivo, embora só seja relacionada a casos de denúncias de pedofilia - infelizmente aqui, esse é o assunto quando se trata de segurança na rede.

Na agenda do evento estão diversos acontecimentos, entre debates, palestras, encontros, que aconteceram durante o mês e culminam no dia de hoje. No Terra acontece um videochat às 13 horas, às 14h temos o Plantão da Cidadania Web na sede do Comitê Gestor da Internet (SP), no canal Futura tem um debate com especialistas às 21h30 e muito mais. Confira a agenda completa para o dia de hoje.

Por que é importante um dia como esse?

Pensar em segurança na Internet e questionar existir apenas um dia do ano para falar sobre o tema nos dá uma certa angústia. No entanto, eventos que tangenciam ou se aprofundam nesse quesito existem todo o tempo, em todo o mundo. A preocupação é diária, mas ainda não atingiu as pessoas certas: os usuários. Falta divulgação dos mecanismos de educação e controle que existem, muitos deles gratuitos ou patrocinados por grandes empresas, que se preocupam, que são atingidas diretamente pelos riscos que essa falta de cuidado ocasiona.

Bancos brasileiros, por exemplo, são considerados os mais "seguros" do mundo no que tange a segurança digital, mas contradizendo isso, são os mais impactados com golpes, desfalques, invasões. Qual a causa disso? O usuário, obviamente. Não adianta ter um mega sistema de segurança, se o usuário digita sua senha em ambiente inseguro, "recadastra" seu cartão-chave em uma página falsa, instala trojans em seu computador, fornece dados pessoais para pessoas que ele confia que sejam do próprio banco ao telefone, etc. Os exemplos são diversos e todos nós certamente conhecemos um caso próximo.

Um dia de referência, com grande impacto na mídia, apoiado por grandes empresas, é um marco. Não é a solução definitiva, mas certamente fará diferença na vida de muitas pessoas, que nunca haviam se preocupado em ter um antivírus instalado, em certificar-se de links recebidos por MSN ou Orkut. Os usuários que participarem de qualquer das atividades, podem ser replicadores dessas informações. Isso acontecendo todo ano, torna-se um ciclo, que atingirá cada vez mais pessoas. Sim, eu sou um romântico ;-).

Como nós podemos ajudar?

Cada um de nós pode fazer sua parte para tornar a Internet um lugar mais seguro. Comecemos dentro de casa. Quantos computadores existem? Todos possuem antivírus instalado e atualizado? E o navegador, ainda é aquele troço nojento do IE6? Confira algumas dicas do que você pode fazer para dar uma força:

• Mantenha o seu sistema operacional sempre atualizado. Marque para baixar as atualizações automaticamente
• Elimine da face da Terra o Internet Explorer 6, atualizando para a versão mais nova possível, ou instale outro navegador, como o Firefox ou Chrome
• Instale um bom antivírus e marque para atualizar automaticamente todos os dias
• Desabilite a execução automática de dispositivos USB
• Distribua aos usuários cartilhas com dicas de segurança, aqui vão duas: Cartilha de Segurança na Internet e Safer Dic@s

Se você tiver tempo e disposição, pode fazer isso também na casa de seus parentes próximos, ou quem sabe até ganhar uma graninha dando uma ajuda aos amigos a protegerem seus computadores. Cobrar para fazer esse trabalho não invalidará a sua ação, pode ficar tranquilo.

Não tem habilidades com essa coisarada de informática e tal? Não tem problema, divulgue a ação. Coloque em seu blog, sua rede social, envie um e-mail aos seus amigos (não pra toda sua lista, ok?) dizendo do que se trata. Se quiser, faça um link para esse texto, ou para a página de links do site da ação. O importante é fazer parte.

AVISO: O texto abaixo é bara 1337 Hax0rs ou pelo menos profissionais experientes de computação.

Nos últimos dias um vídeo fez a alegria do pessoal de TI: Um guri metido a hacker postou um vídeo no YouTube ensinando sua técnica secreta (usando Windows XP) de descobrir quanta gente está acessando um site, e seus respectivos IPs.

O GÊNEO demonstra como conseguir tal proeza utilizando o comando... TRACERT.

Isso mesmo. Por algum motivos obscuro o pequeno cérebro himenóptero do guri o levou a concluir que o TRACERT é uma ferramenta hacker e que os endereços listados numericamente são... IPs acessando o servidor.

A zoação nas interwebs está sendo geral, mas a melhor até agora foi o vídeo abaixo, onde um desocupado genial faz uma versão própria do vídeo, ensinando como fazer a mesma coisa... em Linux.

PS: Antes que alguém reclame, o "em Linux" faz parte da piada.

Essa só não se superou a um diálogo famoso do IRC contando o caso de um "hacker" que ameaçou horrores um usuário, que por sua vez respondeu de volta. Quando o "hacker" avisou que se tivesse o IP do sujeito faria horrores com ele, o sujeito soltou "então tá, meu IP é 127.0.0.1, me ataque se for capaz".

O hacker atacou, acessou o HD e apagou tudo que encontrou. Até a máquina bootar, claro.

Fonte: The Old New Thing

Não é feriado, mas hoje é a quarta edição do Dia Internacional da Privacidade de Dados. Para celebrar a ocasião, grandes empresas como Google e Microsoft contribuíram com material relacionado ao tema.

O Google produziu um vídeo (abaixo), no qual mostra como os dados dos usuários são tratados quando em seus servidores. Baseado em cinco princípios, o Google promete não vender dados, mas utilizá-los para melhorar seus produtos; colocar o usuário no controle, dando-lhe a exata percepção do que é compartilhado ou não (Dashboard ajuda); e permitir que o usuário tenha livre trânsito dentro dos domínios da empresa (conhece o Data Liberation?).

A Microsoft liberou um relatório baseado na análise de vários departamentos de Recursos Humanos nos Estados Unidos, Reino Unido, França e Alemanha. Resultado? Nos EUA, 70% dos departamentos rejeitam candidatos baseados em informações obtidas na Internet.

É por essas e outras que devemos ficar atentos ao que publicamos em sites de relacionamento, como o orkut. Seus amigos podem até achar engraçada aquela foto sua bêbado no churrasco de domingo, mas ela, definitivamente, não pegará bem quando um potencial empregador estiver buscando informações suas…

Fonte: Download Squad.