Arquivo do autor:admin

Vulnerabilidade nas cartas sim

Corrigida vulnerabilidade que afectava 750 milhões de telefones

Depois de ter sido descoberta uma vulnerabilidade na encriptação dos cartões SIM, que permitia aos hackers terem acesso remoto a um telefone e afectava mais de 750 milhões de telefones com SIMs a utilizar a tecnologia visada, os operadores viram-se obrigados a pensar numa solução para contornar esta brecha na segurança dos seus clientes.
A solução para corrigir a vulnerabilidade foi usar a própria vulnerabilidade e injectar a correcção.

O criptografo Karsten Nohl da empresa germánica de segurança, a Security Research Labs, descobriu uma vulnerabilidade nos cartões SIM que permitia o acesso remoto ao telemóvel e o seu controlo. Isto após três anos a pesquisar como haveria de conseguir o acesso a estes cartões.
Nohl conseguiu finalmente o acesso aos cartões SIM explorando uma falha nas chaves de encriptação, conseguindo com isso enviar uma mensagem SMS oculta. Dessa forma remotamente poderia passar-se pelo legítimo proprietário do telefone em causa, fazer pagamentos e ter acesso a informação pessoal, tal como sabemos ser possível nos nossos smartfhones.
Existem várias tecnologias de segurança nestes cartões e as mais recentes não sofriam deste problemas, mas existem, contudo, milhões de utilizadores ainda dependentes de cartões com a tecnologia vulnerável.

Nohl explicava o processo na conferência de segurança informática, Black Hat, em Las Vegas
Nohl agendou uma demonstração com o seu cartão SIM para a conferência de segurança informática, a Black Hat, em Las Vegas, na passada quarta feira. Mas… em vez de fazer tal demonstração, o investigador alemão anunciou sim que cinco companhias de comunicações tinham desenvolvido, de forma muito célere, uma solução para o problema e que este, à data, já tinha correcção. Deixara de haver assim o tal problema descoberto e que, à primeira vista, teria uma difícil forma de resolver!
Assim e porque a solução já existe, Nohl apenas mostrou parte do esquema que ele descobriu para “assaltar” os cartões SIM, mas recusou-se a divulgar as empresas de comunicação que haviam resolvido o problema e, de certa forma, tirado “o tapete” ao investigador.
O mais interessante nesta história é o processo que as empresas usaram. Em vez de substituírem milhões de cartões SIM, que resultaria em prejuízos avultados e numa logística inglória, eles tiraram partido da vulnerabilidade e injectaram sim, em vez de um vírus, a reparação para esta brecha.
Rescreveram então parte do sistema operativo do cartão e este deixou de permitir que a descoberta do investigador alemão conseguisse qualquer efeito prático de ataque. Esta acção recebeu, contudo, um elogio pela rapidez com que as operadoras se mexeram para resolver.
“They’re adopting hacking methods to make it more secure,” … “Abusing the Java vulnerabilities to update the card is the neatest outcome of this.”, disse Nohl no seu discurso na conferência.
Os problemas ainda não terminaram, segundo uma estimativa do investigador, este processo pode demorar até quatro anos, tendo em conta o número de clientes visados. Mas pelo menos existe já uma “cura” que foi muito bem pensada e que pode “fazer escola” no futuro para outros problemas do estilo.

fonte : http://pplware.sapo.pt/informacao/corrigida-vulnerabilidade-que-afectava-750-milhoes-de-telefones/

Certificados SSL gratis

A segurança de transmissão de dados pelo meio de criptografia e uma obrigação nos dias de hoje.

A SSL e uma tecnica de criptografia que e usada na camada 4 (sessão) do modelo OSI, inpedindo de decriptografar qualquer dados capturados por equipamentes indevidos.
http://pt.wikipedia.org/wiki/Transport_Layer_Security

Nos usamos muito a criptografia na internet graças ao aplicativo openssl qui e gratis.
As chaves de criptografia estão estocadas nums arquivos que chamamos de key e certificado.

O aplicativo openssl permite de criar o conjunto key/certificado qui vai abilitar um servidor web de tipo HTTPS a funcionar.

O problema e que qualquer um pode criar certificado e os aplicativos clientes (IE, firefox, safari, etc…) estão configurados para alertar o usuario em caso onde o certificado emitido pelo servidor HTTPS fora “self-signed”. O alerto pode levar o usuario a pensar que a certificado contem alguma armadilha.

Para esse tipo de problematica existem fornecedores de certificado qui são considerados de confiança. Assim os aplicativos clientes não vão emitir alerta.

Esses fornecedores vendem os certificados SSL.

Aqui nos apresentamos a empresa comodo qui fornece certificados gratis por um periodo de 3 meses.

http://ssl.comodo.com/free-ssl-certificate.php

Invasão nos orgões publicos

Parlamentares consideram que cenário revelado pelo iG é fruto de falta de investimento; líder do governo diz que Executivo está atento a invasões de hackers

As revelações sobre o grau de vulnerabilidade que hoje atinge sistemas da administração pública federal provocaram críticas de parlamentares ao governo. Com base em documentos do Centro de Tratamento de Incidentes de Segurança de Redes de Computadores (CTIR-Gov) do Gabinete de Segurança Institucional (GSI), o iG revelou esta semana que, apenas no primeiro semestre de 2013, houve 67 casos em que a segurança tecnológica do governo foi rompida , permitindo o acesso a informações sigilosas de órgãos do governo. Nesse mesmo período, como mostra a série de reportagens, sites de órgãos federais ficaram fora do ar 672 vezes após ataques de hackers.

A principal crítica feita por senadores diz respeito à falta de investimento em tecnologia e no combate a crimes cibernéticos e a lentidão de medidas de impacto. O iG mostrou, por exemplo, que o Executivo negou um pedido de R$ 15 milhões para investimentos na Delegacia de Crimes Cibernéticos da Polícia Federal. O próprio projeto de Implantação do Sistema de Defesa Cibernética, programa encabeçado pelo Exército, e que visa fechar as lacunas que possam permitir acessos ilegais aos sistemas do governo, caminha a passos lentos. Dos R$ 90 milhões previstos para serem aplicados em 2013, apenas R$ 917 mil foram gastos até a semana passada.
Futura Press
O grupo hacker Lulzsec Brazil, braço brasileiro do “Lulzsec” e que reivindicou ataques aos sites do governo em dezembro de 2012

O senador Alvaro Dias (PSDB-PR), líder tucano no Senado, disse que essas informações refletem um “governo atrelado ao atraso”. “Não há uma preocupação nem com a própria segurança”, disse Dias. “Essas vulnerabilidades refletem o perfil do próprio governo. Se não temos competência para combater invasões internas, imagine uma eventual espionagem internacional?”, completou, em referência a revelações de que a Agência de Segurança Nacional dos Estados Unidos (NSA) espionou e-mails e ligações de pessoas residentes ou em trânsito no Brasil.

Integrante da Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática (CCT), o senador Randolf Rodrigues (Psol-AP) classificou como preocupante os dados revelados pelo iG durante esta semana e afirmou que isso confirma as falhas de vulnerabilidade dos sistemas de informática do governo. “O Brasil hoje paga pelas escolhas que fez durante os anos de 1990, ao privatizar o sistemas de telecomunicações e não investir no desenvolvimento de sistemas nacionais de informática. Hoje somos reféns dos sistemas de informática importados”, criticou. “Qualquer militante genuíno do Anonymous (grupo de hackers responsáveis por vários ataques aos sistemas de informática do Poder Executivo) do Brasil consegue derrubar os sites do governo federal”, diz ele.

Já o líder do governo no Senado, Eduardo Braga (PMDB-AM), minimizou as críticas e disse que hoje o Brasil já tem mecanismos de punições a crimes cibernéticos do gênero. Ele citou a lei 12.737/2012, conhecida como “Lei Carolina Dieckmann”. A norma passou a punir com um até três anos de prisão pessoas que invadirem ou violarem sistemas de informática. “Nós, enquanto legisladores, tivemos a iniciativa de aprovar uma lei para fortalecer o combate ao crime cibernético”, afirmou Braga, que foi relator da matéria do Senado. “Agora, sem dúvida o governo está atento a tentativas de invasões em seus sistemas”, declarou.
fonte : http://ultimosegundo.ig.com.br/politica/2013-07-30/senadores-criticam-vulnerabilidade-de-sistemas-de-informatica-do-governo.html

Cuidado com seus dados pessoais

Você sabe onde está sua identidade? Roubo de dados pessoais escapa às soluções fáceis
A ChoicePoint, empresa fornecedora de dados pessoais, fornece informações pessoais de pelo menos 145.000 pessoas a criminosos que se fazem passar por pequenas empresas. Hackers roubaram informações pessoais de 32.000 pessoas que utilizam o banco de dados Lexis-Nexis. O Bank of America perdeu fitas de back-up contendo 1,2 milhão de registros de funcionários federais. Praticamente todos os dias há registro de um novo incidente de roubo de dados pessoais (muitas vezes, o roubo ocorre sem que seja registrado) seguido de uma nova rodada de perguntas: os fornecedores de dados deveriam se submeter a algum tipo de regulação? O roubo de informações sobre identificação pode prejudicar o comércio eletrônico? De que forma os indivíduos podem se proteger? Infelizmente, de acordo com professores da Wharton e de outras instituições, não há respostas simples, sobretudo porque é muito fácil conseguir a informação pessoal desejada nos vários buscadores disponíveis.

Enquanto isso, o custo desse tipo de roubo tende a crescer cada vez mais. De acordo com uma pesquisa realizada pela FTC (Comissão Federal do Comércio dos Estados Unidos) e divulgada em setembro 2003, ano dos últimos dados disponíveis, cerca de 10 milhões de americanos já foram vítimas de algum tipo de roubo de informações sobre identidade, disso resultando um prejuízo de US$ 47,6 bilhões para várias empresas. As vítimas gastaram em média 30 horas na tentativa de reparar os prejuízos sofridos num total de US$ 5 bilhões.

Esses números devem crescer no futuro, dado o volume de incidentes relatados até o momento este ano. Além disso, uma vez que uma recente lei da Califórnia exige que toda empresa em operação no estado informe todos os casos de perda de informações pessoais, os incidentes continuam a vir à tona rapidamente: no dia 8 de março, por exemplo, a DSW Shoe Warehouse reportou o roubo de dados de compras e de números de cartões de crédito de clientes de 103 lojas. Já a Universidade do Estado da Califórnia, em Chico, informou que hackers obtiveram informações pessoais, como nomes e números do registro de inscrição na seguridade social, ao violarem um sistema de informações sobre serviços de moradia e fornecimento de alimentos.

“Se não fosse por aquela lei da Califórnia, jamais tomaríamos conhecimento dessas falhas”, observa Kendall Whitehouse, diretor sênior de Tecnologia da Informação da Wharton.

A senadora democrata Diane Feinstein, da Califórnia, propôs um projeto de lei em 24 de janeiro pelo qual todas as empresas do país seriam obrigadas a expedir uma notificação pública sempre que houvesse violação de dados. Tomando como modelo a lei estadual da Califórnia, o projeto foi apresentado na última reunião do Congresso, mas não foi aprovado, diz Howard Gantman, diretor de comunicações de Feinstein. Desta vez, acrescentou, “temos esperança que a lei seja aprovada”. Na verdade, observa Eric Clemons, professor de Gestão de Operações e de Informações da Wharton, o projeto tem boas chances de passar em razão do número cada vez maior de incidentes de roubo de identidade e da frustração pública com as conseqüências disso. “É preciso que tenhamos meios para punir os responsáveis por esse tipo de roubo”, assinala Clemons. “Alguém tem de se responsabilizar por isso.”

Alguns observadores temem que uma lei dirigida a empresas que fornecem informações pode resultar na restrição ao comércio. John A. Greco, Jr., CEO da Associação de Marketing Direto, observou que “é preciso chegar a uma situação de equilíbrio bastante sensível”, que impeça o roubo de identidade e ainda assim permita aos clientes de fornecedores de dados obter as informações necessárias para concessão de crédito e verificação de dados, permitindo também que as transações sejam processadas rapidamente.

Outros, porém, acreditam que melhores condições de segurança não devem afetar a velocidade das transações. Na verdade, de acordo com Dan Hunter, professor de Estudos Jurídicos da Wharton, a diminuição do roubo de identidade será benéfico para o comércio. Isto porque à medida que as empresas divulgarem com uma freqüência cada vez maior os casos de violação de dados, o roubo de identidade pode começar a prejudicar a compra online. “A avalanche de roubos de identidade dificilmente convencerá minha avó de que ela realmente deve fazer compras online”, diz Hunter.

Por enquanto, porém, os consumidores não se sentiram incomodados o suficiente com esse tipo de roubo a ponto de exigir a introdução de uma regulação mais severa. Para o consumidor, o roubo de identidade é “só mais um episódio entre vários outros”, diz Hunter. “Eles só darão a devida importância ao fato no dia em que forem vítimas.”

A necessidade de divulgar as violações
De acordo com Clemons, as violações de segurança na ChoicePoint e na Lexis-Nexis podem aumentar as chances de aprovação do projeto de lei de Feinstein. Na verdade, embora Clemons fosse inicialmente contra uma lei nacional de divulgação do roubo de identidades, hoje ele acredita que ela seja necessária. Sem uma lei que obrigue a divulgação de tais episódios, observa Clemons, e se não houver penalidade alguma para os casos de vazamento, as empresas jamais se preocuparão com a proteção dos dados sob sua guarda. E por quê? Porque as empresas que hoje deixam vazar informações não são responsáveis pelos prejuízos causados. As instituições financeiras é que pagam a conta das fraudes bancárias, dos números de cartão de crédito roubados etc. “Se 100% dos prejuízos fossem pagos pelo sujeito que consentiu com o roubo dos dados, a atitude em relação à segurança seria outra”, diz Clemons. “Transparência faz sentido. A aplicação de sanções financeiras também seria bem-vinda.”

Hunter concorda com a necessidade de uma lei, porém observa que sua introdução seria extremamente difícil em razão da resistência das companhias de marketing que dependem da definição do perfil do consumidor para o seu negócio. Empresas como a ChoicePoint, que operam em grande parte sem nenhum tipo de regulação, certamente não verão com simpatia leis que regulem suas políticas de segurança. Além disso, diz Hunter, a atitude em relação à integridade dos dados pessoais precisa mudar. “Temos essa idéia absurda de que os dados coletados pelas empresas ‘pertencem’ a elas graças à teoria de que foram elas quem os coletaram ou compraram. Portanto, podem fazer o que bem entenderem com eles. Contudo, se parássemos um instante para considerar o tipo de custos sociais e individuais com que têm de arcar pessoas sem culpa alguma quando sua identidade é roubada, instituiríamos padrões mais elevados de segurança, acesso e edição de informações de identificação pessoal.”

Clemons diz que há necessidade de uma lei nacional por três motivos: em primeiro lugar, a divulgação desse tipo de roubo vem ganhando importância financeira cada vez maior, tendo se tornado uma questão extremamente preocupante para os consumidores. Em segundo lugar, a divulgação de episódios dessa natureza dá aos indivíduos e às instituições financeiras tempo para se protegerem; além disso, é justo que tais partes sejam notificadas imediatamente, já que são elas as responsáveis por grande parte do risco financeiro da operação. Na verdade, observa Whitehouse, dar ao consumidor tempo hábil para que ele reaja ao roubo de identidade é um dos pilares do projeto de lei de Feinstein. “Acho que os consumidores devem ser informados rapidamente”, de modo que possam “relatar o acontecido às agências de crédito e com isso minimizar os riscos próprios desse tipo de situação. Sem transparência, você só dá pelo acontecido quando a fraude vem à tona, e aí já é tarde demais”.

Em terceiro lugar, não há nada de negativo no fato divulgar as violações ocorridas, exceto pelo embaraço por parte das empresas obrigadas a reconhecer a existência de vazamento de informações. Uma lei que obrigasse a divulgação desses casos pelo menos redirecionaria parte desse risco ao comprometer a reputação das partes que causaram o prejuízo ou que permitiram sua ocorrência.

Assim, por exemplo, desde que os problemas de segurança da ChoicePoint tornaram-se conhecidos, a empresa parou de comercializar dados como o número de inscrição da seguridade social e da carteira de habilitação — a menos que isso resulte em uma transação favorável ao consumidor, ou que lhe proporcione algum benefício—; ou ainda, a menos que tais produtos atendam a propósitos do governo federal, estadual, local e da justiça criminal. A empresa nomeou Carol A. DiBattista, atual administradora interina da Administração de Segurança dos Transportes dos EUA, para o cargo de executiva encarregada do credenciamento, conformidade e da política de privacidade da companhia. “São mudanças que decorrem diretamente de atividades fraudulentas recentes”, disse Derek Smith, CEO da ChoicePoint.

Roubo de identidade: operação fácil e freqüente
Por que então o roubo de identidade mais parece uma bola de neve rolando morro abaixo? Porque é fácil demais. No momento em que determinadas informações pessoais de um indivíduo qualquer chegam à Internet, não saem mais de lá. Segundo Hunter, basta passar um certo tempo na Lexis-Nexis para que se tenha à mão registros de propriedades, impostos pagos e outras informações pessoais. “Enquanto não nos dermos conta de que o conhecimento dos dados pessoais é parte importante da vida do indivíduo, e não simples componente da conta de lucro de empresas como a Reed-Elsevier (controladora da Lexis-Nexis), teremos de enfrentar, no mínimo, uma nova violação a cada três dias”, observa Hunter.

Mas a pergunta que se deve realmente fazer é a seguinte: quem precisa da Lexis-Nexis quando se tem o Google? Joshua Pennell, CEO da IOActive, seguradora com sede em Seattle, participou recentemente de uma conferência sobre aplicação de leis em que demonstrou a facilidade com que é possível localizar identificadores pessoais utilizando o Google. “O Google não quer saber se você é um hacker imbuído de más intenções”, diz Pennell. “Qualquer um pode digitar o que bem entender ali.” Pennell acessou mais de 1.000 registros, bem como documentos corporativos sobre desempenho de pessoal, planilhas de Excell e passaportes escaneados. Como esses dados foram parar na Web? Empresas, ou indivíduos, colocaram essa documentação ali na crença de que ninguém teria acesso a elas. “Estamos diante de uma questão cultural”, diz Pennell. “Você pode ter o melhor firewall do mundo, mas se tiver posto algum documento na Web, outros poderão acessá-lo. Não há segurança absoluta.”

É por esse motivo que Pennell acredita que a aprovação de uma lei poderia impulsionar a segurança. “Para que haja uma mudança cultural, temos de obrigar as empresas a expor a roupa suja. Quem gostaria de dizer ao mundo que as informações que tinha a seu respeito foram perdidas?”

David Farber, ex-professor de Ciência da Informação da Universidade da Pensilvânia, atualmente na Carnegie Mellon, diz que a Internet facilita a coleta de pequenas informações que são depois costuradas até compor a identidade de um indivíduo qualquer. Os dados pessoais que vão para a Web são como o gênio que se recusa a voltar para a garrafa. “O fato de vivermos em um mundo interligado torna ainda mais difícil a convivência com esse tipo de situação”, diz.

Solucionando o problema
Uma vez que o roubo de identidade é fácil e decorre de procedimentos de segurança pouco rígidos por parte das empresas, consumidores e companhias que trabalham com dados pessoais precisam chegar a um acordo para evitar a ocorrência desse tipo de roubo, diz Farber. “Os procedimentos corporativos têm de ser mudados, e os consumidores precisam ficar mais antentos.” No que diz respeito ao consumidor, Farber faz eco às opiniões de muitos outros que aconselham às pessoas a destruir documentos e a não fornecer informações pessoais. Ele utiliza apenas um cartão de crédito para transações online, de modo que só precisa cancelar um cartão no momento em que sua segurança fica comprometida. Farber também não responde a e-mails que solicitam informações tais como número do cartão de crédito e da seguridade social; além disso, ele verifica constantemente seu extrato bancário.

Até que outros fatores vinculados aos dados sejam mais seguros, ou até que a lei obrigue as empresas a serem mais vigilantes em relação aos dados, o ônus de proteger seus dados pessoais cabe ao consumidor. Clemons diz que se o consumidor fornece uma informação mínima que seja, isto já é material de trabalho suficiente para um ladrão. “Um ladrão pode recorrer a informações simples e imediatas, como o número do seguro social do indivíduo, do seu telefone ou o nome dos pais para construir” uma identidade e assim “obter informações cada vez mais importantes e de um modo muito fácil”.

Do lado da empresa, é improvável que haja grandes mudanças se não for instituído algum tipo de regulação em nível federal, assinala Clemons. E por quê? Na ausência de penalidades associadas a percalços que envolvam dados pessoais, não haverá grandes retornos de investimentos que justifiquem o aumento dos procedimentos de segurança. “Não houve retorno algum sobre os investimentos feitos para controle da poluição até que a legislação e vários litígios redirecionaram grande parte do custo decorrente da poluição para os poluidores”, diz Clemons. De igual modo, serão feitos investimentos para “tapar buracos” no “primeiro momento em que um agregador de dados for avaliado com base na extensão total dos prejuízos causados aos bancos e emissores de cartão de crédito em face de sua incapacidade de proteger os referidos dados”. Em economia, a situação atual dos agregadores é conhecida como “externalidade”, diz Clemons. “Uma parte desfruta dos benefícios, enquanto a outra arca com os custos.”

Tecnologia: fórmula mágica?
Embora a tecnologia tenha, evidentemente, contribuído para facilitar o roubo de identidade, será possível utilizá-la também para tornar seguras as informações?

Na verdade, não, diz Whitehouse. Para proteger a identidade, é preciso construir um sistema com múltiplas camadas de segurança. Para acessar os dados, seria preciso passar pelas diversas etapas dos procedimentos de segurança. Para reforçar a segurança seriam necessárias duas coisas: aceitação por parte do consumidor e aplicação de novos procedimentos para transações financeiras. O problema é que esse tipo de solução não é simpática, sobretudo, por exemplo, se levar um pouco mais de tempo para aprovação do crédito. Clemons explica que uma coisa tão simples quanto a perda de uma senha se tornaria ainda mais inconveniente. “Uma vez que seria mais difícil determinar que você é você, seria mais difícil também garantir-lhe o direito de usar sua senha”, observa.

Outra alternativa seria deixar de usar o número da seguridade social como identificação, mudar freqüentemente de senha e usar números de cartões de crédito virtuais que mudam a cada compra feita, de modo que os verdadeiros números nunca são revelados. Se todas essas alternativas forem integradas aos sistemas de informação, o valor dos dados vazados seria praticamente zero, observa Clemons.

Uma vez que tais soluções não aparecem da noite para o dia, sobra pouca coisa para aliviar o sofrimento do consumidor, exceto, talvez, rezar para que sua identidade não seja roubada, diz Hunter. “Essa área é um enorme vespeiro, e não há indício de que a situação deva melhorar no curto prazo.”
fonte : http://www.wharton.universia.net/index.cfm?fa=viewArticle&id=955&language=portuguese&specialId=

Vulnerabilidade empresarial

Vulnerabilidade dos dados de informática: uma ameaça para as empresas latino-americanas
O que você faria se toda vez que abrisse a porta da sua casa sofresse uma tentativa de assalto? Naturalmente não se sentiria seguro.

O mesmo fenômeno ocorre com as empresas toda vez que um hacker tenta penetrar em seu banco de dados para roubar dados dos seus clientes. Natalia da Silva, diretora de marketing e de comunicações para a América Latina do provedor de soluções de segurança digital Gemalto, observa que “se somarmos ao que foi dito anteriormente a convergência tecnológica, em que computadores e notebooks têm hoje funções de telefonia e os celulares têm acesso à Internet, observamos que o tráfego de voz, imagens e dados confidenciais deixaram de ser seguros, contribuindo em grande medida para uma série de ameaças e de crimes virtuais”.

Nesse contexto, a consultoria de tecnologia Yankee Group observa que as empresas latino-americanas são mais vulneráveis ao roubo de informações por meio de dispositivos móveis — principalmente notebooks — e propõe que melhorem sua política de proteção de dados, especialmente no que se refere ao modo de acesso a informações críticas.

As conclusões apresentadas são fruto da “Pesquisa Móvel” feita pela empresa, que entrevistou 225 executivos da área de informática de empresas do México, Brasil e Colômbia. A pesquisa concluiu, entre outras coisas, que mais de 80% das empresas utilizam um esquema de senhas simples para controlar a identidade de seus usuários. Somente grandes empresas utilizam a autenticação de identidade, como certificações digitais, tokens e smart cards (aparelhos digitais e cartões inteligentes), ao passo que apenas 67% das empresas recorrem a sistemas de criptografia para a proteção de dados.

Foram pesquisadas empresas do setor de saúde, manufatura, finanças, varejo, construção e estatais. Conforme explicou Andrew Jaquith, analista sênior da consultoria, Brasil, México e Colômbia foram escolhidos como amostra representativa do comportamento corporativo na América Latina. Jaquith ressalta que a pesquisa poderá ser feita também em outros países da região.

América Latina: proteção escassa às informações
Enrique Canessa, professor da Faculdade de Engenharia e Ciências da Universidade Adolfo Ibáñez, do Chile, observa que a ausência de proteção aos dados é maior nas empresas latino-americanas do que em empresas dos países mais desenvolvidos, uma vez que “o volume de transações online das empresas da região é menor do que as registradas na Europa, EUA e alguns mercados asiáticos”. Em razão disso, diz ele, as empresas latino-americanas só colocam em prática medidas para garantir a segurança dos dados quando alcançam um volume crítico de transações, “só aí, então, incorrem em gastos para salvaguardar as informações mais sensíveis”.

Por esse mesmo motivo, observa Alejandro Mellado, professor da Escola de Engenharia da Computação da Universidade Católica de Temuco (Chile), “o investimento das empresas em sistemas de segurança também é menor se comparado ao das nações desenvolvidas”.

Outro ponto importante, observa Horst Von Brand, professor do Departamento de Informática da Universidade Técnica Federico Santa Maria (Chile), é que “o custo das soluções de segurança é elevado, o que também constitui obstáculo para as companhias latino-americanas”.

Contudo, além do aspecto econômico, os professores acreditam também que há outras situações de índole profissional, educacional, cultural e política responsáveis pela demora em adotar normas de segurança, que estariam contribuindo também para colocar empecilhos à segurança digital na região.

Barreiras culturais
Alejandro Mellado observa que uma das principais barreiras culturais “é a ausência de preocupação por parte dos diretores das empresas da região, que não se mantiveram atualizados em relação às mudanças tecnológicas e às novas técnicas de roubo de informações”.

Eduardo Moreno, professor da Faculdade de Engenharia e de Ciências da Universidade Adolfo Ibáñez (Chile), concorda com Mellado, acrescentando que “essa escassa preocupação faz com que alguns sites de bancos recorram a sistemas de proteção de baixa segurança, aos quais os usuários acessam com senhas de apenas quatro dígitos”.

A esse respeito, Natalia da Silva, da Gemalto, diz que há um problema grave na região relacionado à senha de acesso aos sistemas virtuais. “Geralmente, o nome do usuário e a senha são muito frágeis e, conseqüentemente, fáceis de copiar e de clonar pelos hackers.”

Pedir aos usuários que mudem periodicamente de senha, ou que usem sistemas de senhas mais complexos causa aborrecimentos, explica Eduardo Moreno. Por isso, diz ele, “as empresas latino-americanas acabam negligenciando o assunto e simplificam sua utilização, enquanto as senhas de nível mais sofisticado, como as dos certificados digitais, acabam sendo descartadas”.

Todavia, isso não é tudo, conforme alerta Eduardo González, professor da Faculdade de Engenharia e Ciências da Universidade Adolfo Ibáñez, “o problema é que os empregados compartilham as mesmas senhas de acesso”, o que, no seu entender, é reflexo da inexistência de políticas, na região, de esclarecimento aos funcionários sobre a importância de se ter normas específicas de segurança.

Obstáculos profissionais e educacionais
Mellado observa que, na América Latina, há uma menor quantidade de profissionais especializados no campo da segurança de dados em comparação com os países desenvolvidos, o que contribuiu para a negligência demonstrada pelas empresas no que se refere à criação de um sistema de proteção dos dados.

González acredita que “diferentemente do que ocorre em países como os EUA, os executivos de empresas latino-americanas desconhecem os diferentes produtos tecnológicos existentes no mercado para a garantia da segurança das informações. Portanto, como não sabem como esses recursos funcionam, não lhes dão a devida importância, o que acaba por banir o assunto de sua pauta de prioridades”.

É o que pensa também Horst Von Brand. Para ele, a “criptografia — ou codificação da informação, de modo que não possa ser decifrada ou interceptada — é uma ferramenta bastante eficaz para a proteção dos dados; no entanto, tenho visto problemas mais graves em razão do seu uso inadequado do que pela falta de uso. Portanto, temos um problema relacionado com a educação. São poucos os profissionais que estão a par das inovações oferecidas pela indústria da segurança e que sabem como utilizá-las eficazmente”.

É comum também, diz González, as empresas imitarem as políticas de segurança implantadas por outras empresas sem avaliar antes suas necessidades específicas. “Com isso, consegue-se apenas insistir na vulnerabilidade da informação.”

Fatores políticos
Horst Von Brand diz que o aspecto político modelou o atual perfil da América Latina no que diz respeito à segurança dos dados digitais. “Estamos saindo de um período prolongado de governos autoritários durante os quais a proteção dos dados pessoais era algo visto quase como um disparate. Isso explica por que a legislação atual privilegia o acesso eficaz aos dados, em vez de proteger a identidade do usuário.”

No Chile, por exemplo, diz o professor, para a concretização de negócios entre particulares, exige-se o RUT — ou lista única de contribuintes, que é a identidade da pessoa. “Nos EUA, ou no Reino Unido, uma coisa desse tipo seria impensável, dados os riscos que representa para a privacidade do cidadão.”

Por outro lado, “a participação da América Latina em eventos importantes relacionados à segurança de dados é muito baixa”, observa Ítalo Foppiano, chefe da Unidade de Arquitetura Tecnológica da Universidade de Concepción (Chile). Segundo o professor, isso ficou demonstrado durante a XVI conferência anual do FIRST, Forum for Incident Response and Security Teams, órgão mundial que oferece respostas eficazes aos incidentes de segurança de dados mediante boas práticas e uso de tecnologia de ponta, celebrada em Budapeste, Hungria, em 2004.

Na ocasião, diz Foppiano, “havia somente seis representantes de toda a região, ante mais de 30 profissionais da Ásia-Pacífico e 20 especialistas da Alemanha”. Uma das razões para isso, explica o professor, é a pouca participação dos governos latino-americanos em eventos que tratam do tema, “o que se reflete na frágil legislação latino-americana de proteção e privacidade de dados”.

Conseqüências da exposição dos dados
“Na década de 80, os vírus se propagavam por meio de disquetes, infectando apenas máquinas individuais, propagando-se durante semanas ou meses”, conforme o relatório “Redes Autodefensivas”, de 2006, do provedor de soluções de conectividade e segurança em informática Cisco Systems. Nos anos 90, os vírus se propagavam principalmente através do correio eletrônico. Nesse período, foram registrados os primeiros incidentes provocados por hackers, prejudicando as redes corporativas em questão de dias ou semanas, aponta a pesquisa.

O estudo conclui com a informação de que, atualmente, as ameaças adquiriram modalidades diversas, e o “impacto é de nível global, sendo que a velocidade de propagação permite infectar centenas de milhares de computadores em questão de segundos”.

Se somarmos a isso as fraudes financeiras e a falsificação de identidades, resultantes da manipulação de dados, além de outros ciberdelitos mais sofisticados, como a sabotagem de dados — uma técnica para obstruir o funcionamento normal do sistema —, as conseqüências para as empresas latino-americanas são enormes, adverte Ítalo Foppiano, para quem tais conseqüências resultam no desgaste da imagem da empresa e na perda de credibilidade.

“No caso das pequenas empresas, as repercussões não são tão graves”, observa Mellado. Contudo, diz ele, “nas pequenas e médias empresas que não se acham adaptadas à mudança tecnológica de uma sociedade conectada como a atual, que eliminou as barreiras geográficas graças à Internet, a inexistência de padrões de segurança pode roubar-lhes o dinamismo, minar-lhes a confiabilidade perante o cliente e, com o passar do tempo, afetar sua competitividade em um mercado globalizado”.

É nesse ponto que Mellado alerta para o fato de que “muitas vezes os roubos de informação são obra das mesmas pessoas que trabalharam anteriormente na empresa. Ataques desse tipo não são muito sofisticados”. Na verdade, de acordo com uma pesquisa recente da consultoria de tecnologia IDC (International Data Corporation), nada menos que 70% dos ataques são gerados por empregados descontentes com a empresa onde trabalham.

“Por isso, uma das primeiras medidas que Mellado recomenda para a redução do risco de um ataque como o roubo de informações confidenciais consiste em “avaliar os candidatos antes de contratá-los, devendo tal avaliação ser acompanhada por um psicólogo, buscando-se assim um perfil de profissional comprometido com a ética e a probidade”.

Medidas para atenuar as vulnerabilidades
Em segundo lugar, acrescenta Mellado, a empresa deveria introduzir uma política de gestão de segurança que aponte responsabilidades e controles de acessos em níveis distintos de informação. “Uma terceira medida consistiria em aplicar sistemas de criptografia e, uma quarta estratégia, a aplicação de ferramentas de autenticação por meio de senhas e de controles biométricos de identidade.”

Foppiano sugere a adoção de “normas de segurança vindas da alta gerência, reafirmando assim seu compromisso com o tema, conforme prevê a norma ISO 27001:2005 sobre Sistema de Gestão de Segurança da Informação”.

“A segurança dos dados é um processo abrangente que compreende a auditoria, programação e provas até a implantação da operação”, observa Horst Von Brand, acrescentando que o anterior “se aplica também ao tema da segurança na formação dos profissionais da área, um item, infelizmente, no qual estamos ainda engatinhando”.

Para o professor, a legislação comete um erro elementar. Ele ressalta que o “sistema penal atual requer uma atualização urgente nos tópicos relacionados à segurança, tais como o conceito de ‘evidência eletrônica’, que requer uma definição especial que permita tipificar o delito eletrônico”.

Contudo, Foppiano assinala que o Chile já deu um primeiro passo com a aprovação de uma assinatura eletrônica. “Já o México, Brasil e Argentina contam com Equipes de Respostas a Incidentes (CERTs), que apóiam diretamente os governos nesse tipo de assunto.” A proliferação de grupos técnicos (ONGs), que são abastecidos por grupos globais, com o grupo de resposta aos incidentes de segurança, FIRST, acrescenta o professor, podem contribuir para uma maior conscientização e conhecimento da segurança da informação.

“Todavia, não há dúvida de que a América Latina tem pela frente um grande desafio: a adoção de uma legislação que regule a proteção e a privacidade dos dados”, conclui Foppiano.

fonte : http://www.wharton.universia.net/index.cfm?fa=viewArticle&id=1560&language=portuguese

crimes digitais en alta

Pesquisa mostra aumento do número de vítimas de crimes digitais

São Paulo – O número de pessoas que já sofreram ou conhecem alguém que tenha sido vitima de crime digital passou de 12,7%, no ano passado, para 17,9% este ano, revela a quinta edição da pesquisa O Comportamento dos Usuários na Internet, feita pela Federação do Comércio de Bens, Serviços e Turismo no Estado de São Paulo (FecomercioSP).
Segundo a pesquisa, apresentada hoje (12), os homens continuam sendo os mais atingidos, com 20,6% dizendo já ter sido vítima, contra 15,2% das mulheres. Feita em maio, a pesquisa fez 33 perguntas a 1.000 pessoas na capital paulista.

Mesmo com os riscos frequentemente apontados para operações na internet, a pesquisa mostra que, no ano passado, 79,8% dos usuários usavam alguma ferramenta de prevenção e que, neste ano, o número caiu para 65,4%. Entre os entrevistados, 66,6% disseram conhecer a nova lei de crimes cibernéticos e 16,3% acreditam que ela será suficiente. Perguntados sobre conteúdos ilegalmente espalhados pela rede, 65,9% disseram que o material irregular deve ser removido imediatamente, a pedido da vítima, e 34,1% responderam que isso deve ser feito por ordem judicial.

De acordo com a pesquisa, 49,8% dos usuários acreditam que as empresas usam seus dados pessoais ou os compartilham com outras empresas sem autorização e 72,3% não confiam na forma como essas informações são armazenadas. Mesmo assim, 87,8% disseram que os sites deveriam armazenar os dados para o caso de serem necessárias futuras investigações de crimes eletrônicos. Quando questionados sobre compras na internet, 55,9% confirmaram que fazem. Entre os que não fazem, o principal fator que interfere é o receio de fraudes (32,9%).

Uma das questões novas abordadas pela pesquisa mostrou que 48,7% dos internautas usam seus dispositivos pessoais no ambiente de trabalho, sendo que 29,7% levam dados ou informações da empresa em seus aparelhos. A maioria (86,4%) disse ter medo de fraudes ou ataque de hackers (especialistas em informática capazes de modificar programas e redes de computadores) Mesmo assim, 59,7% dos entrevistados costumam baixar aplicativos nos seus dispositivos.

Segundo a economista Kelly Carvalho, da Fecomercio, o crescimento do número de pessoas que sofreram algum tipo de crime eletrônico preocupa, porque o tema está em evidência com a discussão sobre inovações nas formas de ataque e de ferramentas para evitar as fraudes. “Até se tornarem vítimas, as pessoas pensam que estão protegidas e deixam de tomar alguns cuidados e usar ferramentas de proteção. Publicar fotos e divulgar dados pessoais, nome completo, nome da empresa onde trabalha nas redes sociais, por exemplo, é muito perigoso, assim como senhas de fácil acesso, fazer check-in no local onde estão.”

Kelly explicou que, apesar de todas as recomendações, as pessoas têm se descuidado da segurança na internet justamente por não ter sofrido nenhum tipo de crime. “Por isso, as pessoas esquecem de atualizar seu navegador, o antivírus. Até que ela faz uma compra pela internet e tem seu cartão clonado, ou seu dinheiro desviado no meio dessas transações. É preciso estar atento porque os hackers estão 24 horas procurando formas de cometer crimes”, alertou.
A economista chamou a atenção para o expressivo número de pessoas que caem no golpe dos e-mails comlinks maliciosos. Para ela, apesar de o truque ser antigo, ainda há pessoas que acreditam e, mesmo com os frequentes avisos, acabam clicando nos links suspeitos ou deixando dados armazenados em sites. “Por isso, a prática desse crime vem crescendo – pela falta de atenção das pessoas, pela falta de conhecimento de que aquilo, de fato, é um crime”, disse Kelly, ao lembrar que existem também os que atualizam as ferramentas de prevenção, mas se esquecem de que é preciso ter atitudes seguras.

Fonte Agencia Brasil de Noticias