Wednesday, 30 October 2013
Os dicionários de senhas e a falência de um modelo
O raciocínio tinha sua lógica. Uma senha de oito caracteres, livremente escolhidos pelos usuários entre os 94 personagens disponíveis em um teclado padrão, resulta em uma possibilidade singular num universo de 6,1 quatrilhões (isto mesmo, "quatrilhões") de possibilidades. Assim, mesmo dispondo de um cartão com todos os requisitos de conexão do cliente, um invasor com grande maestria técnica, poderia levar meses – ou até anos – para encontrar a sequência correta.
No entanto, o forte avanço dos processadores e dos analisadores de algoritmos já vem mudando esta realidade há muito tempo. Além disso, uma série de fatores relacionados, não à estatística, mas ao comportamento humano, contribui para tornar este modelo algo cada vez mais inseguro e até perigoso para o usuário. Em recente palestra no Brasil, o especialista em senhas de proteção John Richardson – evangelista da empresa de segurança Lieberman Software – apresentou alguns elementos para contextualizar o tema.
Em primeiro lugar, explicou Lieberman, os seres humanos têm grande dificuldade para se lembrar de uma sequência de oito dígitos em sua memória de curto-prazo, sendo mais afeitos a uma extensão de cinco dígitos. A inclusão de símbolos e números na sequência cognitiva ajuda a fragmentar sua imagem mental, tornando-a ainda mais difícil de ser retida.
Como resultado, as pessoas usam uma variedade de truques para criar senhas que possam ser lembradas de forma mais fácil. Assim, ao invés de criar senhas ilegíveis, difíceis de soletrar, a tendência é de se usar palavras ou pedaços de palavras e, de preferência, relacionados a nomes próprios, acontecimentos ou coisas relacionadas à experiência cotidiana.
Como é obrigado a inserir um símbolo e ao menos um número, a tendência mais forte é colocar uma maiúscula no início da palavra-chave e um número ou mais no final da mesma. Quando se usa mais de um número, o hábito predominante é colocá-los em sequência crescente, como "123", ou "789".
Apesar de dispor de um teclado com possibilidades quase infinitas, os humanos, geralmente, só criam uma meia- dúzia de senhas para dezenas de usos. E, para facilitar a lembrança, estas poucas senhas são ainda muito parecidas, com poucas mudanças pontuais e pouca presença do aleatório.
Em um estudo recente de seis milhões de senhas de usuários reais, as 10 mil senhas mais comuns se mostraram capazes de acessar 98,1% das contas de usuários em aplicações como jogos, redes sociais, bases de dados e até cartões de compra.
Conhecendo tal situação, os hackers desenvolvem "dicionários" de palavras usadas em senhas com suas típicas combinações de letras, símbolos e sequencias numéricas. Com o uso de tal ferramenta, eles se tornam aptos a romper com um segredo de acesso de forma milhões de vezes mais fácil do que aconteceria se agissem dentro de um universo aleatório.
E senhas não aleatórias ainda estão longe de ser o maior problema. Acima desta vulnerabilidade aparece o hábito do reuso. O usuário médio tem 26 contas protegidas por senha, mas apenas cinco senhas diferentes em todas essas contas. Assim, um pequeno descuido que cometa com sua senha em um site de jogo, por exemplo, pode representar a chave para que os hackers entrem em diversas outras aplicações mais críticas, como a de conta corrente, por exemplo.
Houve também avanços substanciais no hardware usado para quebrar senhas. Ao lado de ataques de dicionário e baseados em comportamento – que são considerados "elegantes", o emprego da "força bruta", via uso intensivo de hardware, vem tendo cada vez mais sucesso.
Num ataque de força bruta, simplesmente aplica-se cada um dos 6,1 quatrilhões de combinações de uma possível senha de oito caracteres, até que se quebre uma barreira. Hoje, uma máquina bem configurada para quebra de senha, com software dedicado (disponível em vários sites para hackers) pode quebrar uma chamada senha forte, mesmo que bem construída, em um espaço de 5,5 horas.
O custo de uma máquina desse tipo, há poucos anos altíssimo, chegou em 2012 a um patamar de US$ 30 mil, portanto, bastante acessível para hackers financeiramente estruturados. O fato, porém é que possuir uma máquina dessas deixou também de ser uma exigência para o ataque de força bruta.
Tal como as universidades e grandes instituições de pesquisas, os hackers hoje contam com comunidades globais de comutação colaborativa. Trata-se do Multitude-Hacking, um modelo de processamento distribuído que permite ao hacker desmembrar a decupagem do algoritmo ao longo de milhares de máquinas normais de usuários, que são usadas como zumbis e que, em conjunto, compõem um formidável parque de hardware para a quebra de senhas fortes.
Conclui-se assim que as pessoas e – principalmente – as organizações, devem rever imediatamente suas políticas de segurança através de senha. Além da sintaxe sequencial, as regras atuais de controle sobre a expiração da senha, seu comprimento mínimo, o uso do conjunto de símbolos completo, e formas de redefinições de senha são comprovadamente muito fracas.
Além disso, cada organização deve monitorar continuamente seus sistemas de tentativas de hacking, e estar pronto para responder.
Em lugar do modelo atual de construção manual de senhas fixas e reutilizáveis por longo tempo, John Richardson, da Lieberman, prevê que as grandes corporações começarão rapidamente a migrar para um sistema randômico de geração de senhas aleatórias e com algoritmos muito mais sofisticados.
Batizado por ele de Enterprise Random Password Manager (ERPM), o novo modelo já está sendo empregado no Brasil por bancos, operadoras de telecom e pela maior empresa local de cadastro de crédito ao consumidor.
Sua implementação compreende o emprego de senhas geradas dinamicamente (não controladas pelo usuário, mas por uma inteligência algorítmica) em combinação com uma nova sistemática de acesso na qual, ao invés de usar sempre a mesma senha para acessar um dado ou aplicação, o usuário passa a acessar uma espécie de "tesouro de senhas" para obter a licença de acesso (segura e autenticada) cada vez que for usar o recurso.
Outras técnicas apontadas pelo especialista ajudam a manter um controle ainda mais efetivo. Uma delas é a "dupla custódia" (senha particionada em duas ou mais partes, exigindo a ação de mais um usuário para se obter um acesso). A outra é o "impersonation", que é a combinação apenas temporária da relação usuário/senha, sendo que a senha fica automaticamente inativa após o uso, necessitando que outra seja gerada para cada novo acesso ao sistema.
Só com medidas desse tipo, associadas a políticas rigorosas de monitoramento, disciplina de acesso, emprego de criptografia e autenticação de usuários, é que as empresas irão começar a ter segurança e sigilo de fato em suas estruturas de informação e transação de negócios.
André Facciolli, diretor da NetBR
Tuesday, 29 October 2013
McAfee Labs divulga análise inédita sobre moedas on-line e seu uso no cibercrime
O McAfee Labs, que reúne mais de 350 pesquisadores multidisciplinares e analistas de segurança da informação, divulgou essa semana o relatório Digital Laundry ("Lavanderia Digital") que demonstra como os cibercriminosos vêm usando as moedas on-line para lavagem de dinheiro.
Antes de ter suas operações encerradas, o serviço de moeda digital Liberty Reserve foi usado para lavar mais de US$ 6 bilhões, quantia que representa o maior caso internacional de lavagem de dinheiro da história.
Porém, o Liberty Reserve não é a única moeda digital usada por criminosos e a proliferação desses serviços alimenta o crescimento de cibercrimes. O uso dessas moedas vai além da propensão à lavagem de dinheiro, pois incluem também ataques direcionados em câmbios financeiros e malwares desenvolvidos para atacar carteiras digitais.
As moedas digitais são consideradas confiáveis, instantâneas e anônimas. Mesmo quando questões de privacidade foram levantadas em relação a moedas específicas (notadamente o Bitcoin), o mercado respondeu com extensões para oferecer um anonimato maior. Na análise do McAfee Labs, a resposta do mercado é um ponto importante, porque, independente das ações das autoridades contra as empresas de moedas virtuais, os "usuários" de tais serviços identificam rapidamente novas plataformas para lavar seu dinheiro.
Há ainda um processo que permite a produção de moedas digitais, conhecido como "mineração", embora no início as pessoas usassem seus próprios recursos para produção de moedas digitais.
Em junho de 2011 um gerador de Bitcoin permitiu que sites com grande tráfego usassem computadores visitantes para produzir as moedas digitais.
Os visitantes não eram informados disso em todos os casos, criando bots (robôs) maliciosos.
O Banco Central Europeu indica diferenças básicas entre as moedas virtuais e os esquemas financeiros eletrônicos. O dinheiro eletrônico usa uma unidade de valor tradicional e regulamentada; as moedas digitais não são regulamentadas e usam um dinheiro "inventado".
A facilidade é um dos maiores benefícios das moedas digitais e do dinheiro eletrônico, adquiri-las em certos serviços de câmbio podem exigir processos de registro, mas, em alguns casos para comprar as moedas basta fornecer fundos.
A moeda digital do momento é o Bitcoin, que combina criptografia com uma arquitetura peer-to-peer, o que dificulta a identificação de usuários suspeitos e a obtenção de registros de transação. Ainda sim, essa descentralização não é livre de vulnerabilidades.
As tentativas de fechar os serviços de moedas digitais tem resultado em criminosos simplesmente mudando seus negócios para outros locais. Apesar de ser uma proposta atraente para os cibercriminosos, autoridades globais estão trabalhando juntas, internacionalmente, e com o setor privado para identificar e prender os indivíduos que operam tais plataformas.
"As moedas virtuais não vão desaparecer. Apesar dos desafios aparentes apresentados pelos ataques DoS (negação de serviço), do uso desses serviços de câmbio para lavagem de dinheiro e da facilitação do cibercrime, também há muitas oportunidades para usos legítimos.
Ignorar essa oportunidade de mercado pode custar aos possíveis investidores legítimos um faturamento significativo, mas o fracasso em lidar com os riscos em potencial podem custar muito mais", ressalta Raj Samani, vice-presidente e CTO (Chief Technology Officer) da McAfee para a região EMEA.
Espionagem põe em risco manutenção de acordo da rede Swift entre EUA e bloco europeu
As atividades de espionagem das comunicações da população e de chefes de governo europeus da Agência de Segurança Nacional (NSA) dos Estados Unidos, que vieram à tona na última semana, além do risco de desdobramentos políticos imprevisíveis, poderá levar também à suspensão do acordo Swift entre os EUA e os membros do bloco europeu.
A rede Swift, maior mecanismo de serviços de mensagens financeiras, prevê a troca de informações bancárias entre as partes para o combate ao terrorismo.
A decisão pode ser tomada na reunião de representantes europeus com os norte-americanos, que começou nesta segunda-feira, 28, e vai até quarta-feira, 30 em Washington, nos EUA. O encontro visa esclarecer as atividades de monitoramento de comunicações da população e de chefes de governo europeus.
De acordo com denúncias feitas pela imprensa internacional, houve espionagem na França, na Alemanha e na Espanha.
Os chefes de governo de todos os países expressaram insatisfação em relação às suspeitas e cobraram explicações do governo americano. Na sexta-feira, 24, durante encontro entre líderes europeus em Bruxelas, na Bélgica, foi decidido e envio de uma delegação da União Europeia aos EUA.
De acordo com o chefe da delegação, o membro do Comitê de Liberdades Civis do Parlamento Europeu Claude Moraes, a prioridade do encontro é reunir informações relevantes e evidências de fontes americanas. "Teremos a oportunidade de discutir diretamente com os EUA as supostas atividades de monitoramento de autoridades norte-americanas e qualquer impacto que podem ter em temos de violação do direito fundamental à privacidade que os cidadãos europeus têm", disse.
"Os direitos dos cidadãos europeus não podem ser tratados como de menos importância do que os [direitos] dos [cidadãos] norte-americanos", observou o presidente do Comitê de Relações Exteriores do Parlamento Europeu, Elmar Brok, membro da delegação.
Os representantes da União Europeia vão à Casa Branca na quarta-feira para um encontro com a diretora sênior para Assuntos Europeus do Conselho de Segurança Nacional dos Estados Unidos, Karen Donfried. Em seguida, a delegação europeia vai às Nações Unidas (ONU), em Nova York.
Com informações da Agência Brasil.
Sunday, 27 October 2013
Despesas condominiais nos últimos doze meses chegam a 7,43%
“Com este resultado, a variação acumulada das despesas condominiais nos últimos doze meses é de 7,43%, distante da variação do IGPM no mesmo período, de 3,85%”, explicou Anauate. De acordo com o diretor, em setembro o IPEVECON deve apresentar viés de pequena alta, devido ao aumento de tarifas da Sabesp.
Já ao analisar o Índice Periódico de Mora e Inadimplência Condominial (IPEMIC), também produzido pela Associação, a inadimplência no setor no último mês de agosto, com base em junho (não pagamento do 31º ao 90º dia após o vencimento), teve uma leve queda se comparada ao mesmo período em 2012.
“O valor atingiu 2,99%, refletindo uma redução de -0,12% em pontos percentuais, em relação a junho de 2012 (3,24%)”, detalhou o diretor de Condomínio da AABIC, Omar Anauate. Em paralelo, o índice de mora no pagamento de cotas condominiais (atraso ate o 30º dia) alcançou 6,79% que, em comparação ao mesmo período do ano anterior (7,74%), representou queda de -0,95%, em pontos percentuais.
Friday, 25 October 2013
Data center no país não implica aplicação da legislação brasileira, diz Google
"O marco civil tenta estabelecer uma regulação mínima que dá algumas diretrizes básicas sobre princípios a serem respeitados e isso é positivo. O que preocupa é que aos 48 minutos do segundo tempo sujam inclusões de última hora para implementar medidas draconianas para apresentar uma resposta política para um problema que é governamental e diplomático", dispara.
Leobardi questiona a justificativa do governo de que a exigência de data center no Brasil seria uma resposta mais jurídica do que técnica para os problemas de privacidade e acesso a dados por ordens judiciais. "Não importa onde está o data center, a empresa responsável pelos dados continuará seguindo a leis do país em que foi constituída, no caso, os Estados Unidos", explica.
De acordo com o executivo, o Google chegou a se reunir com o ministro Paulo Bernardo para explicar que a exigência de data center em território nacional seria inócua para submeter as empresas à legislação brasileira, mas, apesar de ter sido compreendida, foi ignorada. A posição do ministério teria sido: entendemos, mas precisamos dar uma resposta política".
"O caminho para resolver essas questões é diplomático. Seria preciso reformar o Mutual Legal Assistance Treaty (MLAT) que o Brasil assinou com os EUA e que é o canal de troca de informações de prova (dos sistemas judiciários e investigações criminais)", pontua.
O executivo do Google questiona ainda o que pode ser considerado dado de brasileiro, se será atribuído pelo IP, pelo país que o usuário cadastra quando acessa o serviço e até mesmo se dados de turistas estrangeiros no Brasil serão tratados como dados de brasileiros. "Também pode causar prejuízo para os usuários, uma vez que o Brasil pode ficar no fim da lista de países para receber novos serviços", pontua.
Thursday, 24 October 2013
Redes sociais: um mecanismo eficiente para o departamento de RH
A princípio tudo parece muito simples e correto, entretanto esse é um assunto muito mais complexo do que aparenta ser. As redes sociais possuem tantos usuários que praticamente todas as empresas as utilizam de alguma forma, seja como estratégia de divulgação, como um termômetro da imagem que o público tem da organização e até mesmo acompanhar as tendências e opiniões da grande massa.
E quando é o departamento de Recursos Humanos que utiliza as redes sociais para monitorar seu quadro de funcionários ou definir uma contratação?
Nos Estados Unidos, por exemplo, existe uma prática em algumas organizações, principalmente do setor público, que não se satisfazem em somente olhar o perfil do candidato nas redes sociais, elas chegam a pedir que a pessoa acesse a página durante o processo seletivo para que o avaliador tenha acesso a todas as informações. Já aqui no Brasil temos companhias que exigem que o funcionário recém contratado assine um termo garantindo que não fará qualquer reclamação da empresa nestes meios.
Pesquisa realizada pela AVG Technologies com 230 profissionais de Recursos Humanos descobriu que 50% deles levam em consideração o que os candidatos postam nas redes sociais antes de definir uma contratação.
O assunto é polêmico e vale a discussão. De um lado encontramos o usuário que defende sua liberdade para publicar qualquer tipo de conteúdo de sua vida pessoal. Do outro lado temos os gestores de Recursos Humanos que acreditam que analisar as redes sociais é uma maneira de conhecer melhor o candidato e verificar se ele se adequa ao perfil da empresa.
Entendo que o caminho certo é encontrarmos um equilíbrio entre ambas as partes, ou seja, o gestor deve desvincular e respeitar ao máximo a vida pessoal de um funcionário, desde que o conteúdo não prejudique a imagem da empresa. Se faz necessário entender que o profissional está ali para desempenhar determinada função e que recebe um salário de acordo com os resultados que apresenta, por isso a avaliação de cada um deve ser baseada no desempenho de suas funções.
Por outro lado gostaria de saber se você contrataria um candidato que criticasse nas redes sociais a sua empresa ou um produto/serviço que ela oferece? Por exemplo, faz sentido contratar um vendedor de automóveis que não gosta de carros? O profissional precisa estar atento a esses detalhes. O que é publicado em suas redes sociais pode ser visto por centenas de pessoas e o comportamento dele pode arranhar a imagem de uma marca.
As redes sociais hoje contam com bilhões de pessoas no mundo e são usadas para diversas finalidades, seja pessoal ou corporativa. O fato é que elas são fontes de informação para os departamentos de Recursos Humanos e cabe a cada profissional analisar o que pode ou não prejudicar sua carreira.
Claudio Gandelman é fundador e CEO do Teckler, rede social que remunera os internautas pelo conteúdo produzido.
Wednesday, 23 October 2013
Software une solução, treinamento e prevenção de fraudes
Os novos dispositivos tecnológicos, além dos evidentes avanços em áreas diversas, acabam criando novas formas e mecanismos para fraudes de subscrição, entre muitas outras. Os meios de prevenção e segurança usuais acabam defasados e, normalmente, ineficazes.
Desenvolvido pela BrScan Tecnologia, empresa especializada em soluções voltadas para a gestão de riscos e de informações, o software BrSafe analisa todas as etapas do processo de identificação. Ou seja, o programa certifica a veracidade dos documentos apresentados antes de liberar a contratação do serviço por parte da empresa.
O serviço garante a proteção de bancos, redes do varejo, empresas que administram cartões de crédito, entre outros. Prático, usa algoritmos para garantir, por exemplo, que carteiras de identidade falsas, responsáveis por 72% de golpes em bancos e instituições comerciais, sejam devidamente sinalizadas como riscos de fraudes.
Normalmente, os documentos são validados com limitações, o que facilita a aceitação da documentação falsa. O BrSafe analisa minuciosamente todos os detalhes que envolvem a documentação: cronologia entre datas, brasão e estado de origem, regras de construção, perfuração e até mesmo o Delegado que assinou o documento. Dessa forma, mais de 6 mil combinações de características são processadas automaticamente pelo software em curto espaço de tempo, garantindo, assim, a segurança de qualidade dos negócios firmados.
A solução reduz perdas judiciais e financeiras, além de poupar o investimento demasiado com treinamentos de equipes especializadas na identificação de fraudes, contando também com uma ferramenta eletrônica e interativa de preparo de funcionários.
O BrSafe atende hoje bancos como o Bradesco, Banco de Brasília, BMG e o BR Mercantil. Porém, também atende empresas diversas que buscam mais segurança em seus negócios, como a Fujioka e a American Shoes. De janeiro de 2011 quando foi lançado até os dias de hoje, o software já evitou, segundo a empresa, fraudes no valor de R$ 15 milhões.
Friday, 18 October 2013
Petições eletrônicas no STJ já são mais de 60%
Nessa fase do projeto, o peticionamento eletrônico é obrigatório para conflito de competência – quando suscitado pelas partes interessadas no processo de origem; mandado de segurança; reclamação; sentença estrangeira; suspensão de liminar e de sentença e suspensão de segurança. Nesses casos, as petições encaminhadas em papel serão sumariamente devolvidas de ofício.
A obrigatoriedade também vale para petições incidentais, dirigidas a processos em trâmite no STJ; e nos casos de recurso extraordinário, contrarrazões ao recurso extraordinário, agravo em recurso extraordinário e contraminuta em agravo em recurso extraordinário.
Até abril de 2014, demais classes e recursos serão incoporadas ao projeto, com exceção dos seguintes processos: Habeas Corpus (incluindo recurso),ação penal, inquérito, sindicância, comunicação, revisão criminal, petição, representação, ação de improbidade administrativa e conflito de atribuições.
Acesso 24 horas por dia
O meio eletrônico permite que o peticionamento seja feito a distância e em qualquer horário, pela internet, sendo que a protocolação é executada no mesmo dia do envio da petição. Isso porque o formato já possui validade jurídica certificada por assinatura digital, ou seja, o simples envio já desonera o profissional.
De acordo com o STJ, a certificação digital garante o sigilo do documento e a privacidade nas comunicações das pessoas e das instituições públicas e privadas. Ela impede a adulteração dos documentos nos meios eletrônicos e assegura seu curso legal.
Para utilizar a petição eletrônica, o advogado precisa apenas cumprir alguns requisitos técnicos, entre eles obtenção de certificação digital, prévio credenciamento no sistema do STJ e configuração do seu computador para a instalação dos programas específicos. Todos esses requisitos estão detalhadamente explicados no site do Tribunal, no Espaço do Advogado.
De 25% em 2012 para 50% até setembro
Desde que o projeto foi criado, o STJ diz que estar reforçando a sua equipe de atendimento e desenvolveu tutoriais específicos para esclarecer dúvidas. Como resultado, destaca o tribunal, antes mesmo da entrada em vigor da obrigatoriedade do peticionamento eletrônico, o índice já havia saltado de 25% (média de 2013) para 50% (setembro de 2013).
Com informações da Assessoria de Imprensa do STJ.
Wednesday, 16 October 2013
Tráfego global de computação na nuvem deve crescer 35% em cinco anos, diz estudo
Até 2017, aproximadamente 17% do tráfego serão alimentados por usuários finais acessando nuvem para navegar na web, fazer streaming de vídeos, colaboração e uso de dispositivos conectados que compõem a "internet de todas as coisas", ou seja, a conexão de rede entre pessoas, dados, processos e coisas, segundo a Cisco.
Ainda conforme o estudo, o tráfego geral em data centers vai crescer três vezes e alcançar um total de 7,7 zettabytes nos próximos quatro anos. Outra parte do tráfego de data centers não é causada diretamente por usuários finais, mas por data centers e cargas de processamento de computação em nuvem usadas em atividades que são virtualmente invisíveis aos indivíduos.
No período de 2012-2017, a Cisco projeta que 7% do tráfego de data center serão gerados entre data centers impulsionados principalmente pela replicação de dados e atualizações de sistema e software. Um adicional de 76% do tráfego em data centers vai permanecer dentro dos próprios sites, e será gerado em grande parte por armazenamento de dados, produção e desenvolvimento em ambientes virtualizados.
O tráfego de nuvem global será responsável por mais de dois terços do tráfego mundial de data center. Globalmente, o tráfego de cloud crescerá de 46% do total do tráfego de data center (98 exabytes por mês ou 1,2 zettabyte por ano) do total do tráfego de data center em 2012 para 69% do tráfego total de data centers em 2017 — 443 exabytes por mês ou 5,3 zettabytes por ano.
"Pessoas de todo o mundo continuam a exigir a capacidade de acessar conteúdo pessoal, negócios e entretenimento em qualquer lugar em qualquer dispositivo, e cada transação em um ambiente de nuvem virtualizado pode causar efeitos em cascata na rede", afirma Doug Merritt, vice-presidente sênior de marketing de produtos e soluções da Cisco.
De uma perspectiva regional, o Global Cloud Index prevê que, durante 2017, o Oriente Médio e a África terão a maior taxa de crescimento em tráfego na nuvem (57% na taxa de crescimento anual composto), seguidos de Ásia (43%) e Europa Central e Oriental (36%). Nos próximos quatro anos, a América do Norte vai gerar mais tráfego em nuvem (1,886 zettabyte por ano), seguida por Ásia-Pacífico (1,876 zettabyte por ano) e Europa Ocidental (770 exabytes por ano).
Monday, 14 October 2013
NSA coletou milhões de listas de contatos de e-mails pessoais
Vazados pelo ex-técnico da NSA Edward Snowden, os números foram confirmadas por oficiais de inteligência dos EUA. E-mails dos servidores Yahoo, Gmail, Facebook e Hotmail vêm sendo rastreados continuamente, além de cerca de meio milhão de listas de serviços de chat.
Durante um único dia do ano passado, o sistema recolheu 444.743 e-mails de listas de contatos do Yahoo, 105.068 do Hotmail, 82.857 do Facebook e 33.697 do Gmail, além de 22.881 endereços a partir de outros provedores não especificados, de acordo com uma apresentação interna da NSA.
Além disso,segundo o relatório, a agência americana recolhe diariamente contatos de cerca de 500 mil pessoas de listas de amigos em serviços de bate-papo, bem como de mensagens privadas. Apesar dos números, um porta-voz do governo informou que a agência de inteligência não tem interesse em informações pessoais de americanos comuns.
O programa de coleta, que ainda não havia sido divulgado, intercepta e-mails e listas de amigos de serviços de mensagens instantâneas através de links de dados globais. Serviços on-line muitas vezes transmitem os contatos quando um usuário acessa sua conta pessoal, escreve uma mensagem ou sincroniza um computador ou dispositivo móvel com as informações armazenadas em servidores remotos.
Mas, ao invés de serem direcionadas a usuários individuais, as informações são coletadas pela NSA, que vem reunindo listas de contatos em números que equivalem a uma fração considerável da população mundial. A análise desses dados permite que a agência possa buscar conexões ocultas e relacionamentos dentro de um universo muito menor, incluindo estrangeiros.
A coleta depende de acordos secretos com companhias estrangeiras de telecomunicações ou serviços de inteligência que direcionam o tráfego ao longo das principais rotas de dados da Internet.
© 1996 - 2013. Todos direitos reservados a Infoglobo Comunicação e Participações S.A. Este material não pode ser publicado, transmitido por broadcast, reescrito ou redistribuído sem autorização.
7 dicas para fazer negócios nas redes sociais
Não ignore comentários
As redes sociais são espaços de diálogos, por isso é importante estimular a participação e, obviamente, responder aos questionamentos dos usuários. A principal vantagem é ter acesso às críticas e elogios sobre a empresa que não chegariam de forma tão sincera por outros meios. Para Alexandre Suguimoto, presidente da APADi (Associação Paulista das Agências Digitais), se abrir um canal de comunicação esteja preparado para atendê-lo. Caso contrário é melhor nem criar uma conta.
Defina onde quer estar
Para Grazielle Mendes Rangel, consultora de inovação digital e coordenadora do curso de Inovação Digital, Planejamento e Estratégia em Redes Sociais do Ibmec/MG, o perfil do consumidor da marca é que vai ajudar o empreendedor a escolher a melhor rede para atuar. O Pinterest, por exemplo, pode ser interessante para empresas que tenham boas fotos de produtos. O presidente da APADi ainda sugere avaliar os sites como se fossem vitrines, e criar contas com nome da empresa para garantir a conta, mesmo que não sejam usadas no futuro.
Produza conteúdo correto
As redes sociais são espaços para conteúdos diferentes e não campanhas tradicionais de marketing. O ideal, segundo a coordenadora da Ibmec/MG, é produzir conteúdos que tenham a ver com a marca. Saiba quem é o publico, que tipo de informação é relevante para ele e quais são os valores da empresa. Com estes aspectos definidos, publique temas de interesse do consumidor, e se certifique de que as imagens e textos usados não tenham direitos autorais. Caso contrário, o post pode ser removido da página.
Foco no planejamento
Para um dono de uma pequena empresa, montar uma equipe para se dedicar ao gerenciamento das redes sociais pode não ser viável. Mas, ter planejamento e acompanhamento é indispensável. "É um espaço para desenvolver os produtos e monitorar a concorrência. O que acontece nas redes tem que fazer parte da reunião de pauta das decisões estratégicas", afirma Grazielle.
Tenha consistência
Muitas vezes as empresas começam empolgadas nas redes sociais e depois perdem a freqüência de posts. Isso é muito ruim, pois limita a criação de um relacionamento contínuo com os consumidores. Os posts precisam de consistência: nem o excesso e muito menos a escassez são permitidos.
Crie regras de conduta
Mensagens desrespeitosas, xingamentos e palavrões são comuns em reclamações de consumidores. O recomendável é criar uma política de utilização da página, informando aos usuários que mensagens com esse tipo de conteúdo não serão aceitas.
Integre as redes com os outros canais da empresa
Ter bastante conteúdo nas redes sociais pode ser bom e valorizar a marca, mas não deve ser o único foco do empresário. Não é bom apostar tudo nas redes sociais e substituir até mesmo o site da empresa por uma página no Facebook, por exemplo. De acordo com Grazielle, é importante que exista um alinhamento entre os canais e que cada um tenha um planejamento e papel diferentes, porém, complementares.
Justiça decide que Receita Federal pode quebrar sigilo bancário sem autorização
A decisão divide especialistas. Para o professor de Direito Constitucional Sylvio Motta, a violação de privacidade não se configura em casos assim.
— A polícia, a Receita Federal e as comissões parlamentares de inquérito podem pedir quebras de sigilo. Se o juiz entender que a coleta das provas foi ilícita, ele as desconsidera — afirmou.
A advogada Karin Khalili Dannemann afirmou que, apesar de já haver decisões semelhantes à do TRF-2, o assunto ainda não está pacificado no Judiciário, podendo gerar contestações.
— Há ações diretas de inconstitucionalidade não julgadas sobre o tema no Supremo Tribunal Federal. A Constituição protege o direito à privacidade — lembrou.
Na ação, o MPF destacou que a lei permite que autoridades fiscais avaliem movimentações financeiras quando já houver processo administrativo ou fiscal em curso, e esse exame for indispensável para esclarecer os fatos.
Tuesday, 8 October 2013
Lei 7.170
TÍTULO I
Disposições Gerais
Art. 1º - Esta Lei prevê os crimes que lesam ou expõem a perigo de lesão:
I - a integridade territorial e a soberania nacional;
Il - o regime representativo e democrático, a Federação e o Estado de Direito;
Ill - a pessoa dos chefes dos Poderes da União.
Art. 2º - Quando o fato estiver também previsto como crime no Código Penal, no Código Penal Militar ou em leis especiais, levar-se-ão em conta, para a aplicação desta Lei:
I - a motivação e os objetivos do agente;
II - a lesão real ou potencial aos bens jurídicos mencionados no artigo anterior.
Art. 3º - Pune-se a tentativa com a pena correspondente ao crime consumado, reduzida de um a dois terços, quando não houver expressa previsão e cominação específica para a figura tentada.
Parágrafo único - O agente que, voluntariamente, desiste de prosseguir na execução, ou impede que o resultado se produza, só responde pelos atos já praticados.
Art. 4º - São circunstâncias que sempre agravam a pena, quando não elementares do crime:
I - ser o agente reincidente;
II - ter o agente:
a) praticado o crime com o auxílio, de qualquer espécie, de governo, organização internacional ou grupos estrangeiros;
b) promovido, organizado ou dirigido a atividade dos demais, no caso do concurso de agentes.
Art. 5º - Em tempo de paz, a execução da pena privativa da liberdade, não superior a dois anos,
pode ser suspensa, por dois a seis anos, desde que:
I - o condenado não seja reincidente em crime doloso, salvo o disposto no § 1º do art. 71 do Código Penal Militar;
II - os seus antecedentes e personalidade, os motivos e as circunstâncias do crime, bem como sua
conduta posterior, autorizem a presunção de que não tornará a delinqüir.
Parágrafo único - A sentença especificará as condições a que fica subordinada a suspensão.
Art. 6º - Extingue-se a punibilidade dos crimes previstos nesta Lei:
I - pela morte do agente;
Il - pela anistia ou indulto;
III - pela retroatividade da lei que não mais considera o fato como criminoso;
IV - pela prescrição.
Art. 7º - Na aplicação desta Lei, observar-se-á, no que couber, a Parte Geral do Código Penal Militar e, subsidiariamente, a sua Parte Especial.
Parágrafo único - Os menores de dezoito anos são penalmente inimputáveis, ficando sujeitos às normas estabelecidas na legislação especial.
TíTULO II
Dos Crimes e das Penas
Art. 8º - Entrar em entendimento ou negociação com governo ou grupo estrangeiro, ou seus agentes, para provocar guerra ou atos de hostilidade contra o Brasil.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único - Ocorrendo a guerra ou sendo desencadeados os atos de hostilidade, a pena aumenta-se até o dobro.
Art. 9º - Tentar submeter o território nacional, ou parte dele, ao domínio ou à soberania de outro país.
Pena: reclusão, de 4 a 20 anos.
Parágrafo único - Se do fato resulta lesão corporal grave, a pena aumenta-se até um terço; se resulta morte aumenta-se até a metade.
Art. 10 - Aliciar indivíduos de outro país para invasão do território nacional.
Pena: reclusão, de 3 a 10 anos.
Parágrafo único - Ocorrendo a invasão, a pena aumenta-se até o dobro.
Art. 11 - Tentar desmembrar parte do território nacional para constituir país independente.
Pena: reclusão, de 4 a 12 anos.
Art. 12 - Importar ou introduzir, no território nacional, por qualquer forma, sem autorização da autoridade federal competente, armamento ou material militar privativo das Forças Armadas.
Pena: reclusão, de 3 a 10 anos.
Parágrafo único - Na mesma pena incorre quem, sem autorização legal, fabrica, vende, transporta,
recebe, oculta, mantém em depósito ou distribui o armamento ou material militar de que trata este artigo.
Art. 13 - Comunicar, entregar ou permitir a comunicação ou a entrega, a governo ou grupo
estrangeiro, ou a organização ou grupo de existência ilegal, de dados, documentos ou cópias de documentos, planos, códigos, cifras ou assuntos que, no interesse do Estado brasileiro, são classificados como sigilosos.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único - Incorre na mesma pena quem:
I - com o objetivo de realizar os atos previstos neste artigo, mantém serviço de espionagem ou dele participa;
II - com o mesmo objetivo, realiza atividade aerofotográfica ou de sensoreamento remoto, em qualquer parte do território nacional;
III - oculta ou presta auxílio a espião, sabendo-o tal, para subtraí-lo à ação da autoridade pública;
IV - obtém ou revela, para fim de espionagem, desenhos, projetos, fotografias, notícias ou informações a respeito de técnicas, de tecnologias, de componentes, de equipamentos, de instalações ou de sistemas de processamento automatizado de dados, em uso ou em desenvolvimento no País, que, reputados essenciais para a sua defesa, segurança ou economia, devem permanecer em segredo.
Art. 14 - Facilitar, culposamente, a prática de qualquer dos crimes previstos nos arts. 12 e 13, e seus parágrafos.
Pena: detenção, de 1 a 5 anos.
Art. 15 - Praticar sabotagem contra instalações militares, meios de comunicações, meios e vias de transporte, estaleiros, portos, aeroportos, fábricas, usinas, barragem, depósitos e outras instalações congêneres.
Pena: reclusão, de 3 a 10 anos.
§ 1º - Se do fato resulta:
a) lesão corporal grave, a pena aumenta-se até a metade;
b) dano, destruição ou neutralização de meios de defesa ou de segurança; paralisação, total ou parcial, de atividade ou serviços públicos reputados essenciais para a defesa, a segurança ou a economia do País, a pena aumenta-se até o dobro;
c) morte, a pena aumenta-se até o triplo.
§ 2º - Punem-se os atos preparatórios de sabotagem com a pena deste artigo reduzida de dois terços, se o fato não constitui crime mais grave.
Art. 16 - Integrar ou manter associação, partido, comitê, entidade de classe ou grupamento que tenha por objetivo a mudança do regime vigente ou do Estado de Direito, por meios violentos ou com o emprego de grave ameaça.
Pena: reclusão, de 1 a 5 anos.
Art. 17 - Tentar mudar, com emprego de violência ou grave ameaça, a ordem, o regime vigente ou o Estado de Direito.
Pena: reclusão, de 3 a 15 anos.
Parágrafo único.- Se do fato resulta lesão corporal grave, a pena aumenta-se até a metade; se resulta morte, aumenta-se até o dobro.
Art. 18 - Tentar impedir, com emprego de violência ou grave ameaça, o livre exercício de qualquer dos Poderes da União ou dos Estados.
Pena: reclusão, de 2 a 6 anos.
Art. 19 - Apoderar-se ou exercer o controle de aeronave, embarcação ou veículo de transporte coletivo, com emprego de violência ou grave ameaça à tripulação ou a passageiros.
Pena: reclusão, de 2 a 10 anos.
Parágrafo único - Se do fato resulta lesão corporal grave, a pena aumenta-se até o dobro; se resulta morte, aumenta-se até o triplo.
Art. 20 - Devastar, saquear, extorquir, roubar, seqüestrar, manter em cárcere privado, incendiar, depredar, provocar explosão, praticar atentado pessoal ou atos de terrorismo, por inconformismo político ou para obtenção de fundos destinados à manutenção de organizações políticas clandestinas ou subversivas.
Pena: reclusão, de 3 a 10 anos.
Parágrafo único - Se do fato resulta lesão corporal grave, a pena aumenta-se até o dobro; se resulta morte, aumenta-se até o triplo.
Art. 21 - Revelar segredo obtido em razão de cargo, emprego ou função pública, relativamente a planos, ações ou operações militares ou policiais contra rebeldes, insurretos ou revolucionários.
Pena: reclusão, de 2 a 10 anos.
Art. 22 - Fazer, em público, propaganda:
I - de processos violentos ou ilegais para alteração da ordem política ou social;
II - de discriminação racial, de luta pela violência entre as classes sociais, de perseguição religiosa;
III - de guerra;
IV - de qualquer dos crimes previstos nesta Lei.
Pena: detenção, de 1 a 4 anos.
§ 1º - A pena é aumentada de um terço quando a propaganda for feita em local de trabalho ou por meio de rádio ou televisão.
§ 2º - Sujeita-se à mesma pena quem distribui ou redistribui:
a) fundos destinados a realizar a propaganda de que trata este artigo;
b) ostensiva ou clandestinamente boletins ou panfletos contendo a mesma propaganda.
§ 3º - Não constitui propaganda criminosa a exposição, a crítica ou o debate de quaisquer doutrinas.
Art. 23 - Incitar:
I - à subversão da ordem política ou social;
II - à animosidade entre as Forças Armadas ou entre estas e as classes sociais ou as instituições
civis;
III - à luta com violência entre as classes sociais;
IV - à prática de qualquer dos crimes previstos nesta Lei.
Pena: reclusão, de 1 a 4 anos.
Art. 24 - Constituir, integrar ou manter organização ilegal de tipo militar, de qualquer forma ou natureza armada ou não, com ou sem fardamento, com finalidade combativa.
Pena: reclusão, de 2 a 8 anos.
Art. 25 - Fazer funcionar, de fato, ainda que sob falso nome ou forma simulada, partido político ou associação dissolvidos por força de disposição legal ou de decisão judicial.
Pena: reclusão, de 1 a 5 anos.
Art. 26 - Caluniar ou difamar o Presidente da República, o do Senado Federal, o da Câmara dos Deputados ou o do Supremo Tribunal Federal, imputando-lhes fato definido como crime ou fato ofensivo à reputação.
Pena: reclusão, de 1 a 4 anos.
Parágrafo único - Na mesma pena incorre quem, conhecendo o caráter ilícito da imputação, a propala ou divulga.
Art. 27 - Ofender a integridade corporal ou a saúde de qualquer das autoridades mencionadas no artigo anterior.
Pena: reclusão, de 1 a 3 anos.
§ 1º - Se a lesão é grave, aplica-se a pena de reclusão de 3 a 15 anos.
§ 2º - Se da lesão resulta a morte e as circunstâncias evidenciam que este resultado pode ser atribuído a título de culpa ao agente, a pena é aumentada até um terço.
Art. 28 - Atentar contra a liberdade pessoal de qualquer das autoridades referidas no art. 26.
Pena: reclusão, de 4 a 12 anos.
Art. 29 - Matar qualquer das autoridades referidas no art. 26.
Pena: reclusão, de 15 a 30 anos.
TíTULO III
Da Competência, do Processo e das normas Especiais de Procedimentos
Art. 30 - Compete à Justiça Militar processar e julgar os crimes previstos nesta Lei, com
observância das normas estabelecidas no Código de Processo Penal Militar, no que não colidirem com disposição desta Lei, ressalvada a competência originária do Supremo Tribunal Federal nos casos previstos na Constituição.
Parágrafo único - A ação penal é pública, promovendo-a o Ministério Público.
Art. 31 - Para apuração de fato que configure crime previsto nesta Lei, instaurar-se-á inquérito policial, pela Polícia Federal:
I - de ofício;
II - mediante requisição do Ministério Público;
III - mediante requisição de autoridade militar responsável pela segurança interna;
IV - mediante requisição do Ministro da Justiça.
Parágrafo único - Poderá a União delegar, mediante convênio, a Estado, ao Distrito Federal ou a Território, atribuições para a realização do inquérito referido neste artigo.
Art. 32 - Será instaurado inquérito Policial Militar se o agente for militar ou assemelhado, ou quando o crime:
I - lesar patrimônio sob administração militar;
II - for praticado em lugar diretamente sujeito à administração militar ou contra militar ou assemelhado em serviço;
III - for praticado nas regiões alcançadas pela decretação do estado de emergência ou do estado de sítio.
Art. 33 - Durante as investigações, a autoridade de que presidir o inquérito poderá manter o indiciado preso ou sob custódia, pelo prazo de quinze dias, comunicando imediatamente o fato ao juízo competente.
§ 1º - Em caso de justificada necessidade, esse prazo poderá ser dilatado por mais quinze dias, por decisão do juiz, a pedido do encarregado do inquérito, ouvido o Ministério Público.
§ 2º - A incomunicabilidade do indiciado, no período inicial das investigações, será permitida pelo prazo improrrogável de, no máximo, cinco dias.
§ 3º - O preso ou custodiado deverá ser recolhido e mantido em lugar diverso do destinado aos presos por crimes comuns, com estrita observância do disposto nos arts. 237 a 242 do Código de Processo Penal Militar.
§ 4º - Em qualquer fase do inquérito, a requerimento da defesa, do indiciado, de seu cônjuge, descendente ou ascendente, será realizado exame na pessoa do indiciado para verificação de sua integridade física e mental; uma via do laudo, elaborado por dois peritos médicos e instruída com fotografias, será juntada aos autos do inquérito.
§ 5º - Esgotado o prazo de quinze dias de prisão ou custódia ou de sua eventual prorrogação, o indiciado será imediatamente libertado, salvo se decretadas prisão preventiva, a requerimento do encarregado do inquérito ou do órgão do Ministério Público.
§ 6º - O tempo de prisão ou custódia será computado no de execução da pena privativa de liberdade.
Art. 34 - Esta Lei entra em vigor na data de sua publicação.
Art. 35 - Revogam-se a Lei nº 6.620, de 17 de dezembro de 1978, e demais disposições em contrário.
Brasília, em 14 de dezembro de 1983; 162º da Independência e 95º da República.
JOãO FIGUEIREDO
Ibrahim Abi-Ackel
Danilo Venturini
Este texto não substitui o publicado no D.O.U. de 15.12.1983
Norton Report 2013 diz que custo por vítima do cybercrime cresce 50%
Este comportamento vulnerável coloca o indivíduo e a sua identidade digital em risco.
"Atualmente, os cibercriminosos utilizam ataques mais sofisticados, como o Ransomware e Spear-phishing, que são muito mais lucrativos, diz Steve Trilling, Diretor de Tecnologia da Symantec.
De acordo com os resultados do Norton Report 2013, 49% dos consumidores usam seus dispositivos móveis pessoais para trabalho e lazer, o que permite e potencializa novos riscos de segurança para as empresas já que potencializa o acesso dos cybercriminosos a informações ainda mais valiosas.
"Se fosse um teste, os usuários móveis seriam reprovados", alerta Marian Merritt, advogada de Segurança na Internet da Symantec. "Enquanto os consumidores protegem seus computadores, existe uma falta geral de consciência para proteger seus equipamentos móveis. É como se eles tivessem sistemas de alarme em suas casas, mas deixassem seus carros destravados e com as janelas abertas", finaliza.
Principais conclusões do Norton Report 2013 para o Brasil
60% dos brasileiros foi vítima de cybercrime, um total de 22 milhões de pessoas.
45% dos adultos brasileiros teve uma experiência de crime virtual e comportamento de risco nos últimos 12 meses
Custo líquido de crimes cibernéticos dos últimos 12 meses foi superior a R$ 18 milhões
57% dos usuários de smartphone o Brasil foi vítima de crime virtual móvel
49% dos usuários de smatphone e 61% dos consumidores de tablets possui sistema de segurança online instalado em seus equipamentos
58% dos brasileiros usa o aparelho pessoal para trabalho e diversão
39% dos usuários smartphone disse que não deleta e-mails suspeitos de pessoas que não conhece
33% dos brasileiros não se desconecta dos perfis sociais após o uso e 31% se conecta com pessoas desconhecidas
61% dos adultos entrevistados disse utilizar redes de Wi-Fi públicas ou inseguras
Norton Report
O Norton Report (anteriormente chamado de Norton Cybercrime Report) é um dos maiores estudos do mundo sobre cybercrime com foco nos consumidores, baseado nas experiências relatadas por mais de 13 mil usuários adultos em 24 países.
O objetivo é compreender como o crime virtual afeta os consumidores e de que forma a adoção e evolução de novas tecnologias impactam a segurança desses usuários.
Metodologia do Relatório Norton
Entre 4 de julho de 2013 e 1o de agosto de 2013, a Edelman Berland conduziu entrevistas online com 13.022 adultos, com idades entre 18 e 64 anos, de 24 países (Austrália, Brasil, Canadá, China, Colômbia, Dinamarca, França, Alemanha, Índia, Itália, Japão, México, Holanda, Nova Zelândia, Polônia, Rússia, Arábia Saudita, Singapura, África do Sul, Suécia, Turquia, Emirados Árabes Unidos, Reino Unido, Estados Unidos da América). A margem de erro para a amostra total de adultos (n=13.022) é 0,9% com nível de confiança de 95%. 1000 adultos participantes foram entrevistados nos EUA, 1000 na Índia, e 500 em cada um dos outros países. Os dados mundiais foram ponderados para garantir que todos os países tivessem uma representação igual de 500 adultos.
Saturday, 5 October 2013
Segurança Digital: 10 coisas que um banco nunca pedirá a um cliente
1- Mandar um SMS pedindo detalhes para confirmar se se trata de um cliente correto
Sim, é possível que um banco envie mensagens de texto, por exemplo para confirmar uma transação feita pelo computador, mas nunca irá solicitar senhas e informações pessoais dessa forma. Em caso de suspeita de um possível erro, recomenda-se não clicar nos links enviados ou ligar para os números indicados. Por outro lado, deve-se entrar em contato com a empresa utilizando os meios habituais, geralmente disponíveis na internet e assim checar se a mensagem é verdadeira.
2 - Informar que em 24 horas sua conta será encerrada ao menos que faça o indicado
Muitas mensagens de bancos são marcadas como “Urgentes”, principalmente aquelas relacionadas a suspeitas de fraude. Porém, todas as que possuem um prazo para que alguma ação seja feita, devem ser lidas com cautela. Os cybercriminosos precisam ser rápidos, isso porque seus sites online podem ser bloqueados ou descobertos, por isso precisam fazer com que o usuário click sem pensar muito. Normalmente, os bancos que querem apenas entrar em contato com o cliente não colocam prazos.
3 - Enviar um link com “Nova Versão de um aplicativo para home banking"
Os bancos não distribuem aplicativos desta maneira e estas sempre podem ser baixadas dos sites oficiais. Por exemplo, o trojan bancário chamado Hesperbot descoberto recentemente pela ESET, usa um site falso para que os usuários coloquem seu número de celular e instalem uma publicação maliciosa que ultrapassa os sistemas de segurança.
4 - Usar encurtadores de links em um e-mail
Os cybercriminosos utilizam uma variedade de truques para que um site malicioso pareça real em um e-mail que finge ser um banco. Uma das formas mais clássicas é o uso de encurtadores de links. Por esse motivo, a ESET recomenda não clicar em links encurtados, que sejam provenientes que um e-mail ou SMS, ao menos que seja de alguém/empresa confiável e que você conheça.
5- Utilizar o correio para retirar um cartão de crédito com defeito
Uma nova forma de ameaças consiste em informar o cliente que um serviço de correio irá retirar um cartão de crédito com defeito, e para isso pedir a senha do cartão para confirmação. A forma correta seria pedir para o usuário quebrar e cortar o cartão, de forma que o banco enviaria pelo correio um cartão novo.
6- Ligar para um telefone fixo e pedir para que o cliente ligue novamente ao banco para confirmar seus dados
Esta outra forma de ataque consiste em ligar para o cliente e informar que foi detectada uma transação fraudulenta em sua conta. Os cybercriminosos informam que irão desligar a ligação e pedem que o usuário entre em contato com o número oficial do banco. O que acontece é que eles reproduzem o tom da ligação e enquanto o cliente fornece seus dados ao banco eles os copiam e realizam o roubo.
7- Enviar um e-mail para outro endereço sem informar anteriormente
Se o banco entra em contato com o usuário por um endereço de e-mail diferente dos utilizados anteriormente, deve-se tomar muito cuidado. O recomendado é que todo usuário tenha uma conta de e-mail apenas para o banco, não utilizando-a para mais nada; dessa forma se torna mais provável que os e-mails recebidos sejam realmente do seu banco.
8- Utilizar um site de internet não seguro
Um site legítimo e verdadeiro correspondente a um banco deve possuir na pasta de endereços um cadeado, o que significa que o site é seguro
9- Solicitar que o usuário desative o modo seguro de acesso
O banco nunca irá solicitar que o modo de segurança seja desabilitado para acessar sua plataforma ou realizar alguma transação. Caso isto aconteça, é recomendado comunicar imediatamente ao banco para que este comportamento seja verificado.
10- Mandar uma mensagem com apenas um link em uma página em branco
Qualquer mensagem enviada pelo banco deve estar dirigida a quem corresponde, tanto no corpo do e-mail como no assunto. É importante checar que o e-mail está destinado ao caminho correto do cliente e que não é algo genérico como “lista de clientes”.
“Levar em conta essas precauções e estar sempre atento, fará com que o usuário saiba quando confiar em uma solicitação do banco e quando deve suspeitar do que for recebido”, declara Camilo Gutierrez, Especialista de Awareness & Reasearch da ESET América Latina.
Wednesday, 2 October 2013
A neutralidade da rede e a segurança coletiva
Para a perfeita compreensão do tema, é preciso entender que um Marco Civil é uma lei que enuncia direitos e deveres, além de se posicionar dentro e ao lado do sistema jurídico tradicional, servindo tanto como uma declaração de princípios quanto como uma lei tradicional – que, se descumprida, fará com que o infrator receba uma espécie de sanção. Assim, o Marco Civil da Internet no Brasil será uma lei criando direitos e deveres que se imporão imediatamente a todos, independentemente de se ter que recorrer a decretos para complementar seu alcance ou bater às portas do Judiciário para que um direito seja garantido.
Olhando nosso projeto de Marco Civil, o tema mais palpitante em debate é o da Neutralidade da Rede. Este, combinado com o que se propõe de proteção da privacidade, gera uma declaração ampla de liberdade pública negativa, aquela na qual o Estado e as demais pessoas não podem intervir na vida privada do cidadão. Este resguardo com a intimidade e a privacidade dos usuários é consequência, sem dúvida, dos múltiplos casos de violação noticiados, especialmente aqueles envolvendo espionagem e revelação de segredos de estado – os leaks, em história recente.
O Marco Civil da Internet cria dois momentos diferenciados para proteger a privacidade e resguardar a neutralidade da rede: a conexão e o acesso às aplicações da Internet. A cada uma delas, é dado um tratamento diferenciado.
A conexão, definida como o registro do acesso à internet pelo usuário (data, hora e IP de conexão), é protegida de maneira relativa, existindo uma disposição que obriga ao provedor de conexão a manter os registros por um ano, ou mais, dependendo de ordem da autoridade judicial. Estes registros são invioláveis, a princípio, mas podem ser revelados à autoridade judicial em razão de investigação, obedecendo ao devido processo legal. Em termos práticos, por este meio é possível apenas identificar que determinado computador se conectou à internet, em determinado dia e horário.
Mas e quanto ao que foi acessado? Este é o outro núcleo de proteção da privacidade. As aplicações de Internet não estão sujeitas à guarda de informações. Aliás, é proibido guardar estes registros, a menos que seja a própria provedora da aplicação. Ainda assim, estes registros só poderão ser "guardados" após uma ordem judicial específica e valendo para o futuro. E, mais, segundo consta do projeto e de suas emendas, em caso de existência de tal ordem judicial, o usuário suspeito deve ser imediatamente avisado pelo provedor. Esta situação é ilógica e insustentável numa investigação criminal.
É difícil acreditar que, ao ser avisada de que a Polícia está monitorando seus acessos, uma pessoa que visite sites com conteúdo de pedofilia o continuará fazendo para aumentar as provas contra si mesmo.
Porém esta não é a única questão a trazer questionamentos. Em sua redação ampla como consta do projeto de Marco Civil, a neutralidade impõe que não se façam distinções aos usuários ou ao trânsito de dados. Com referência aos conteúdos dos pacotes é aberto um amplo espectro de situações que podem induzir aos usuários sentirem que receberam uma carta branca no território virtual da Internet. Isto porque consta que o conteúdo do pacote de dados não poderá ser utilizado para criar embaraços ao seu trânsito.
Ora, uma das funções da tecnologia é permitir um incremento da qualidade de vida. E esta, sem sombra de dúvida, clama por um sentido geral de segurança. Neste aspecto, é extremamente simples se detectar, através da Internet, pacotes de dados cujo conteúdo aponta para uma evidente prática e estímulo de racismo, para o tráfico de entorpecentes, terrorismo, pedofilia e outras mazelas.
Mantendo-se de tal forma a amplitude da neutralidade, a capacidade inerente à tecnologia de se detectar conteúdos desta natureza fica efetivamente debilitada, já que é ilegal qualquer forma de modulação ou discriminação do tráfego, ainda que este seja de um pacote de dados com conteúdo capaz de resuscitar o nazismo ou outras pragas que deviam ter sido erradicadas do comportamento humano.
É óbvio que se poderia objetar: mas seria justo exercer uma censura ou vigilancia dos conteúdos dos pacotes de dados em nome da segurança coletiva? Todo o embate brilhantemente travado pelo CGI – Conselho Gestor da Internet contra os programas que fazem esta "espionagem"?
E aqui renasce o antigo dilema que ainda não conseguimos resolver com uma regra definitiva: como proteger um direito ao extremo, quando para tanto precisamos sacrificar outro igualmente importante direito? Como garantir privacidade extrema, quando, para tanto, corremos o risco de expor ao perigo a paz e a integridade física? A resposta, após séculos de conflitos deste tipo tem sido: os direitos quaisquer que sejam não são absolutos. Eles se equilibram, se completam e se limitam criando um sistema de freios e contrapesos jurídico, histórico e social.
Não há resposta pronta. Ainda mais agora, quando o Brasil se revela vítima da espionagem do Governo Norte-Americano, o debate se torna mais sensível. Mas, ponderemos a seguinte questão: É justo (não questiono a licitude) que havendo ferramentas suficientes para prevenir ou coibir pedofilia virtual, violação de direitos autorais, tráfico de entorpecentes e outros males, não o façamos em prol de uma extremada neutralidade vestuta de clamor, mas oca de conteúdo? Neste debate, como não ecoar Victor Hugo: "Tudo quanto aumenta a Liberdade, aumenta a responsabilidade".
Dr. Jayme Petra de Mello Neto, advogado do escritório Nogueira, Elias, Laskowski e Matias Advogados
Tuesday, 1 October 2013
"In God we trust, all others we monitor"
Este raro exemplo de profissão de fé feita pelos EUA, Estado laico por força constitucional, foi relativizado no lema informalmente adotado pelas agências de inteligência americanas (dentre as quais a Agência Nacional de Segurança – NSA) que, em paródia ao lema nacional, afirma que "Confiamos em Deus. Todos os outros, nós monitoramos" (no original, o título desse artigo).
É nesse contexto, de clareza de intenções do aparato americano de inteligência, que as reações do governo brasileiro às denúncias de atos de espionagem contra o Brasil nos remetem ao título da comédia de Shakespeare: "Muito Barulho por Nada" (ou quase nada). Afinal, seja o adiamento da viagem da presidente Dilma aos EUA, seja o discurso de ontem diante da plenária da 68ª Assembleia Geral das Nações Unidas (vide trechos destacados e link para a íntegra, abaixo), constituem, no jargão diplomático, respostas contundentes a atos que não deveriam surpreender, quanto menos chocar, o governo brasileiro.
Por mais que constitua prática indigna, o fato é que a espionagem sempre existiu. A espionagem transnacional nasceu junto com a própria noção de Estado. Desde então, foi regularmente valorizada como instrumento de segurança nacional por virtualmente todos os países do mundo. Não há nação que, em maior ou menor grau, não tenha se valido de atos de espionagem para auxiliá-la a dar norte às suas estratégias e condutas voltadas ao exterior.
Não é por outro motivo, qual seja, o uso difundido da espionagem, que não seja de se surpreender que a ordem jurídica internacional não conte com tratados ou acordos regulando a matéria. Simplesmente não existem. Em outras palavras: pelo menos diante do atual direito internacional público positivo, pecado em matéria de espionagem, se algum houver, é deixar-se ser pego no ato.
Se a espionagem é prática consolidada, quase que costumeira na ordem internacional, onde está a novidade que deu impulso aos protestos brasileiros? O que mudou, e na razão direta dos avanços tecnológicos e do crescimento da Internet, foi o incremento da capacidade do aparato de inteligência estatal (e mesmo privado) para obter informações.
Nesse cenário, de pouca novidade, é possível especular que o "barulho" diplomático brasileiro, ou como colocou J.R. Guzzo em recente artigo publicado na revista Exame, que o "som e a fúria" de nossas declarações baseiam-se nas seguintes motivações: primeiro, muito embora previamente conhecida a prática de espionagem, uma vez descoberto o ato, os protestos devem ser públicos e veementes (a teoria de que "não pode ficar barato"); e, segundo, a crença de que no atual nível de desenvolvimento tecnológico, chegou-se ao ponto de inflexão em matéria de regulação internacional referente à espionagem.
Quanto à primeira motivação, a questão passa pela dosagem. O exagero nas reações pode se voltar contra o Brasil. Quanto à segundo motivação, a história das relações internacionais nos mostra que as resoluções multilaterais demoram (muitas vezes anos) para ingressar na ordem jurídica internacional e uma vez instituídas, sua aplicação e efetividade não podem ser plenamente garantidas. Em matéria de espionagem, e em razão de sua própria natureza, o sucesso do esforço normativo nos parece ainda mais improvável. Ou seja, o "barulho" será por nada, ou quase nada.
É inevitável que sejamos espionados. A equação é simples: quanto maior o acesso de nossos inimigos, ou mesmo parceiros, aos avanços das tecnologias da informação e comunicação, maior o incentivo à prática da espionagem. E nesse jogo, não há vítimas nem algozes pré-definidos.
A história mais recente apoia o raciocínio. Os próprios EUA têm reportado investidas chinesas (sem indicar se são patrocinadas pelo governo chinês, ou não) contra informações de valor estratégico (e.g. propriedade intelectual) de conglomerados americanos.
A gravidade da situação para os EUA nesse caso, na posição de vítima, é de tal sorte que o Presidente da Comissão de Inteligência do senado americano, Senador Mark Rogers (Partido Republicano), fez, em julho passado, a seguinte declaração à imprensa de seu país: "A China está literalmente tentando roubar nosso modo de vida (…). Uma guerra cibernética está sendo imposta às corporações americanas e o governo não tem capacidade de defendê-las adequadamente.".
Os americanos são reconhecidos, com toda justiça, por seu pragmatismo. Na posição de vítimas não gritaram a plenos pulmões sua indignação. Suas providências, além do reforço de investimentos em contraespionagem cibernética, incluem a aprovação de lei que permitirá ao governo americano dividir com empresas privadas informações de inteligência confidenciais necessárias para a defesa contra ataques cibernéticos.
De nosso lado, ao que tudo indica, optamos pela via mais confortável da retórica. O projeto de lei que trata da Política Nacional de Inteligência está parado no Planalto desde novembro de 2010. Nos parece que seria mais sábio aprendermos com nossos algozes.
Se, pelo menos publicamente, é difícil imaginar nossas autoridades afirmarem que: "fora Deus, todos os outros monitoraremos", não seria de todo mal adotar como nosso lema, "fora Deus, todos os outros serão bloqueados".
Gustavo Artese é Master of Laws (LL.M.) pela Universidade de Chicago e advogado responsável pelas práticas de Propriedade Intelectual e Direito Digital do escritório Vella, Pugliese, Buosi e Guidoni Advogados.
Trechos destacados do discurso de Dilma Rousseff na ONU de 24/09/2013:
"Imiscuir-se desta forma na vida de outros países fere o Direito Internacional e afronta os princípios que devem reger as relações entre eles, sobretudo entre nações amigas. Jamais pode uma soberania firmar-se em detrimento de outra soberania. Jamais pode o direito à segurança dos cidadãos de um país ser garantido mediante a violação de direitos humanos fundamentais dos cidadãos de outro país. Pior ainda quando empresas privadas estão sustentando essa espionagem. Não se sustentam argumentos de que a interceptação ilegal de informações e dados destina-se a proteger as nações contra o terrorismo."
"O que temos diante de nós é um sério caso de violação dos direitos humanos e desrespeito à soberania."
"Fizemos saber ao governo norte-americano nosso protesto, exigindo explicações, desculpas e garantias de que tais procedimentos não se repetirão."
"O problema, porém, transcende o relacionamento bilateral de dois países. Afeta a própria comunidade internacional e dela exige resposta. As tecnologias de telecomunicação e informação não podem ser o novo campo de batalha entre os Estados. Este é o momento de criarmos as condições para evitar que o espaço cibernético seja instrumentalizado como arma de guerra, por meio da espionagem, da sabotagem, dos ataques contra sistemas e infraestrutura de outros países."
"A ONU deve desempenhar um papel de liderança no esforço de regular o comportamento dos Estados frente a essas tecnologias e a importância da internet, dessa rede social, para construção da democracia no mundo."