Thursday, 27 February 2014

3 dicas para o gerenciamento de TI durante o Carnaval

Às vésperas do Carnaval a maioria dos profissionais está começando a se programar para deixar o escritório ir para a rua e cair na folia, no samba, curtir a diversão e as festas por todo o país. No entanto, as empresas não podem correr o risco de deixar que todos os funcionários se desconectem completamente do trabalho.

Muitas vezes, os profissionais de TI têm que ficar de plantão durante a noite, nos finais de semana e, sim, durante feriados como o Carnaval, a fim de manter em funcionamento as tecnologias críticas para o negócio. Uma interrupção relacionada ao setor de TI pode acabar imediatamente com a folia de um profissional de TI no Carnaval... mas existem algumas dicas que os profissionais de TI podem seguir para evitar esses problemas. Glenn Gray, gerente de Marketing de Produtos da SolarWinds, líder no fornecimento de softwares de gerenciamento de TI, compartilha três dicas importantes que os profissionais de TI devem lembrar durante o Carnaval:

1. Esteja preparado:
Espere o esperado: todo profissional de TI lida com dezenas de problemas diariamente. Embora alguns desses problemas talvez não sejam críticos com muitos usuários finais fora do escritório, os profissionais de TI ainda podem prever que desafios diários esperados aparecerão.
Comunique-se internamente: os profissionais de TI podem se preparar para uma série de crises tecnológicas conversando com os colegas na saída do escritório e fazendo perguntas para avaliar quantos funcionários usarão os recursos de TI enquanto estão fora do escritório. Será que vão acessar os aplicativos e recursos pela VPN? Vão precisar entrar em uma teleconferência com parceiros comerciais em outros países? Dessa forma, os profissionais de TI podem tentar antecipar as necessidades e os problemas de TI e podem agir para resolvê-los antes que ocorram.

Gerencie as expectativas do chefe: os profissionais de TI devem conversar com o chefe ou com o gerente de plantão no feriado e informar quem deve ser contatado quando surgir uma "emergência", em que circunstâncias eles podem ligar para o suporte e que tipo de tempo de resposta esperar.

2. Use seu smartphone:
É cada vez mais fácil realizar tarefas de administração do sistema em smartphones, com aplicativos móveis de administração de TI que fornecem um conjunto abrangente de ferramentas para permitir aos profissionais de TI realizar tarefas diárias em qualquer uma das plataformas móveis mais utilizadas. Agora, os profissionais de TI podem controlar servidores e desktops, gerenciar objetos do Active Directory e monitorar sistemas comerciais críticos – tudo de um smartphone com 3G ou até mesmo 4G.

3. Deixe o software fazer o trabalho:

Encontre o software certo de helpdesk: o software de helpdesk pode eliminar a necessidade de triagem dos tíquetes de suporte ao automatizar a escolha do profissional de TI correto para cada tarefa para minimizar o tempo de inatividade e manter a satisfação do cliente. Por exemplo, não faz sentido que um técnico de desktops Windows lute horas para tentar consertar um servidor Linux. Este sistema também equilibra a carga de trabalho e evita a sobrecarga de qualquer profissional individual de TI.

Encontre uma ferramenta de suporte remoto: por mais que o Carnaval seja uma festa empolgante para a maioria dos brasileiros, provavelmente sempre haverá sempre um ou dois “workaholics” que vão ficar no escritório durante o feriado e, portanto, os profissionais de TI podem precisar ter acesso remoto aos computadores no escritório. Os departamentos de TI devem investir em uma ferramenta abrangente de suporte remoto para permitir que os profissionais de TI iniciem sessões de controle remoto e forneçam administração remota para vários sistemas operacionais, oferecendo soluções para as "emergências" comuns que funcionários no escritório enfrentam, como desbloquear suas contas do Active Directory, reiniciar ou interromper serviços, e muito mais.

Os profissionais de TI não veem a hora de sair do escritório e cair na folia, mas antes eles devem reservar algum tempo para discutir internamente e estabelecer processos, evitando eventuais crises comerciais resultantes de falhas na gestão de TI.

* Glenn Gray é gerente de Marketing de Produtos para Gerenciamento de Desktop na SolarWinds, líder no fornecimento de softwares de gerenciamento de TI com sede em Austin, no Texas. Ele tem mais de 10 anos de experiência trabalhando em várias funções de TI, incluindo administrador de sistemas e gerente de TI.

O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

Virtualização x Cloud

Cloud Computing despontou publicamente como o sistema que permitiria contratar infraestrutura como serviço (IaaS). Seria possível adquirir servidores, switches, storages, entre outros, sem ter custos de aquisição de equipamentos físicos e instalação, pagando apenas pelo uso. Não só aplicações corporativas como ERP, CRM, mas também sistemas de E-commerce e Lojas online são exemplos práticos reais que usufruem desta tecnologia nos dias de hoje.

Assim que o nome IaaS foi criado, surgiram outras denominações: As antigas aplicações conhecidas como "Hosted" receberam a alcunha de SaaS (Software como serviço). E as plataformas de desenvolvimento, que não são software, mas também não são representações virtuais de servidores, switches, storages, etc., ficaram conhecidas como PaaS –(Plataforma como serviço).

Enquanto o hype avançava, a poderosa máquina de marketing da TI começava a funcionar. Sistemas hospedados em servidores físicos de datacenter foram chamados de "meu cloud". Websites que foram hospedados em servidores comuns viraram "cloud", mesmo não sendo serviços de IaaS.

Toda plataforma de Cloud IaaS é baseada em alguma forma de virtualização. E o motivo é simples: virtualização é o processo que desacopla a infraestrutura virtual da física, criando "novos servidores feitos de software" dentro de um antigo servidor "feito de hardware".

A Amazon Web Services utiliza o virtualizador XEN em sua plataforma. A Rackspace utiliza XEN e mais recentemente o KVM. O Microsoft Azure utiliza o Hyper-V. A MANDIC utiliza uma combinação de XEN, KVM e Hyper-V. Não há um provedor de compartilhamento em nuvem do mundo que forneça IaaS e não use algum tipo de virtualização, completa ou parcial, para poder desacoplar a camada de aplicação da camada de hardware.

Como virtualização é um conceito antigo, criou-se uma diferenciação para chamar uma plataforma de Cloud. Basicamente, Cloud tem que ter API, ser escalável e precisa ser paga por uso. Mas vamos avaliar esses pontos:

Cloud tem que ter API (Application Programming Interface) – Esse é um ponto interessante, pois lida com as diferenças entre usuários. API é algo que interessa a desenvolvedores, mas tem pouca ou nenhuma serventia no ambiente corporativo, onde o CIO quer comprar o serviço e não desenvolver. Assim, uma plataforma que ofereça serviços que resolvam problemas de um ou mais CIOs e tragam redução de custo e maior desempenho. Logo, por não ter uma API não pode ser chamada de Cloud?

Cloud tem que ser escalável – Concordo, mas virtualização é escalável por si só! Tudo depende da quantidade de servidores que são disponibilizados. Fato é que atualmente estão utilizando o termo "virtualização" como um sinônimo de "Cloud Privada", onde o hardware disponibilizado pertence a uma empresa e esta não consegue escalar o serviço além dos servidores que possui.

Cloud tem que ser paga pelo uso – O cliente tem o poder de decidir como ele quer pagar por um serviço. Há CIOs que vão preferir pagar por uso (por terem um ambiente previsível e terem mecanismos de controles), mas existem outros que querem contratos fechados, sem surpresas e com alta previsibilidade. A plataforma é a mesma, mas a forma de pagamento e compra é diferente.

Estamos assistindo a discussões do tipo "a minha cloud é verdadeira e a do fulano é só virtualização", mas isso não resolve problemas de clientes. Alguns CIOs até já comentaram não gostar de cloud "por ser lento" quando na verdade testaram apenas um fornecedor específico cuja estratégia pode ser justamente oferecer máquinas lentas para vender mais. Existem até "cursos de Cloud" que na verdade ensinam o estudante a usar este ou aquele fornecedor ou esta ou aquela API.

Existem, inclusive, fornecedores de cloud no mercado que obrigam você a reescrever sua aplicação para poder usufruir das vantagens, criando um poderoso mecanismo de lock-in (uma vez reescrita a aplicação, você fica definitivamente atado àquele provedor). Mas essa não é a regra geral (ainda bem!).

Minha visão é: acredito que o CIO exigente tem o direito de decidir o melhor para si e sua empresa, inclusive se quer alterar a aplicação ou não. Cabe ao fornecedor garantir que o cliente tenha a melhor experiência em termos de estabilidade e desempenho, independente de como a chamamos. Queremos virtualização ou cloud? Honestamente, queremos performance, estabilidade, escalabilidade e segurança. O resto é discussão inócua.

Antonio Carlos Pina, diretor de Tecnologia e Operações da MANDIC

Wednesday, 26 February 2014

Android teve mais de 1,2 milhão de novos casos de ataques de vírus em 2013

O crescimento do número de smartphone e tablets colocados no mercado fazem com que os criminosos cibernéticos façam destes dispositivos móveis um alvo prioritário para seus ataques, uma vez que os usuários ainda precisam ser conscientizados da necessidade de instalação de aplicativos de segurança em seus aparelhos.

A G Data, fornecedora de soluções antivírus, representada no Brasil pela FirstSecurity, divulgou relatório onde releva que a plataforma Android teve mais de 1 milhão e 200 mil novos casos de ataque de vírus. Um recorde, segundo a G Data.

Outra tendência de e-Crime apontada pelo relatório é a utilização de aplicativos potencialmente mal intencionados, que não são os aplicativos de malware convencionais, mas aqueles que podem ser utilizados para exibir publicidade indesejada e espionar os usuários.

A G Data acredita que os ataques multiplataformas também ocorrerão em número cada vez maior nos próximos anos, incluindo as moedas digitais, como Bitcoin, por exemplo. No entanto, os golpes envolvendo o envio de mensagens SMS para números "premium" – que cobram por mensagem enviada -, dando lucro aos golpistas e prejuízo ao usuário, se manterão em queda devido aos mecanismos de segurança das versões mais recentes do Android.

"Ao quebrar um novo recorde nos ataques ao Android, a indústria do crime cibernético se baseia essencialmente no roubo de dados pessoais que podem ser vendidos em mercados específicos", comenta Eddy Willems, evangelista de segurança da G Data Security. E não há qualquer chance deste cenário melhorar para o usuário, segundo ele. "2014 será o ano do roubo de dados móveis, uma vez que a fraude envolvendo mensagens SMS já não é tão rentável como antes. Isto significa que os ataques multiplataformas e as moedas digitais crescerão em interesse para os criminosos cibernéticos no setor móvel".

Cavalos de Troia continuam dominando os ataques digitais

Oito em cada dez aplicativos de malware são cavalos de troia, que são usados por criminosos com o objetivo de roubar dados pessoais para fazer dinheiro em mercados diversos do eCrime.

Outro grande problema envolve programas potencialmente indesejáveis (PUP – Potentially Unwanted Program), que compuseram mais da metade do total de malware no segundo semestre de 2013. Os PUP incluem aplicações que não são estritamente maliciosas, mas são visíveis para a exibição de publicidade indesejada e funções de espionagem. Eles também são, muitas vezes, difíceis de serem removidos.

Monday, 24 February 2014

Banda larga: no Rio, todas as operadoras descumprem exigência da Anatel

BRASÍLIA - A qualidade da rede de dados móvel ainda é o grande problema dos serviços de telecomunicações no país. Esta é uma das conclusões da quinta Avaliação Trimestral do Plano Nacional de Ação de Melhoria da Prestação do Serviço Móvel Pessoal, referente ao período de agosto, setembro e outubro de 2013, divulgado nesta segunda-feira pela Agência Nacional de Telecomunicações (Anatel). As empresas não conseguem cumprir a meta estabelecida pela agência de uma “taxa de acesso a rede de dados de 98% das tentativas feitas pelos usuários. Se forem considerados os dados Brasil, somente a Claro conseguiu atingir a exigência, com 98,53%; a Oi ficou com 93,91%; a TIM, 94,56%; e a Vivo, 96,87%.

No Rio, por exemplo, as quatro operadoras, Claro (97,40%); Oi (91,37%); TIM (94,59%) e Vivo (97,37%) ficaram fora da meta. Mas, quando são consideradas as tecnologias em separado, 2G e 3G, de maior velocidade, os resultados são diferentes. Neste caso, somente a Oi não conseguiu atingir a qualidade na 3G, isto acontece porque as empresas têm investido mais recursos nas redes mais novas de 3G.

De um total de 79.140 reclamações em julho deste ano na central de atendimento da Anatel sobre o telefone pós-pago, a cobrança representou 49%; o bloqueio, 5%; outros, 8%; rede, 5%; atendimento; 5%; habilitação, 5%; planos de serviço, 6%; cancelamento, 6%; serviços adicionais, 10%; e inclusão SPC/Serasa, 2%.

Dos 37.643 consumidores de celulares pré-pagos que reclamaram no call centes da agência apontaram problemas com a cobrança, 26%; promoções, 10%; serviços adicionais, 13%; cartão pré-pago 13%; rede, 11%; atendimento, 5%; área de cobertura, 3%; promoções, 10%; habilitação, 5%; bloqueio, 3%; e outros; 10%.

Depois que a Anatel suspendeu entre 23 de julho e 3 de agosto de 2012, a venda de chips da TIM (19 estados), Oi (cinco estados) e Claro (três estados) entre 23 de julho e 3 de agosto, passou a acompanhar o desempenho de todas as empresas de celular. Segundo a Anatel, a decisão de suspender a comercialização teve como base uma análise nacional de indicadores sobre problemas com rede, interrupção de chamadas e má qualidade no atendimento.

© 1996 - 2014. Todos direitos reservados a Infoglobo Comunicação e Participações S.A. Este material não pode ser publicado, transmitido por broadcast, reescrito ou redistribuído sem autorização.

Espionagem nos EUA aumenta a procura por celulares com maior privacidade

Depois das revelações de Edward Snowden, há um crescente interesse em celulares com um atrativo central: privacidade.

O mais recente produto é o Blackphone, um celular com software Android, que criptografa textos, conversas telefônicas e em vídeo lançado no Mobile World Congress em Barcelona, nesta segunda-feira.

O objetivo é atender ao mercado dos chamados produtos de gerenciamento de segurança móvel (MSM, na sigla em inglês), que foi estimado em 2013 em US$ 560 milhões e que em 2015 deve ter o dobro desse tamanho, segundo a consultoria ABI Research.

A Deutsche Telekom também prepara o lançamento de um aplicativo para smartphone que criptografa mensagens de texto e voz, o que a tornará a primeira grande rede operadora com um serviço do tipo disponível para todos os seus usuários.

Edward Snowden chamou a atenção do mundo todo quando revelou a jornais, no ano passado, que a Agência de Segurança Nacional dos Estados Unidos, a NSA, estava tendo acesso a dados pessoais de usuários de empresas como Google, Facebook e Skype.

Outros vazamentos do ex-prestador de serviços da NSA, que é acusado de espionagem e vive atualmente asilado na Rússia, indicaram que os EUA monitoraram telefonemas de 35 líderes mundiais, entre eles a presidente Dilma Rousseff e a chanceler alemã, Angela Merkel.

O Blackphone é resultado da cooperação entre a empresa de software de segurança Silent Circle e a fabricante espanhola GeeksPhone.

A expectativa de analistas é que o telefone custe menos dos que os iPhones topo de linha.

O serviço da Deutsche Telekom será lançado num evento em Hanover no próximo mês e será gerenciado pela alemã Sichere Mobile Kommunikation, uma provedora de serviços e equipamentos criptografados.

O número de consultas que a empresa alemã recebe de interessados aumentou cinco vezes desde os vazamentos de Snowden.

Saturday, 22 February 2014

Relatório aponta cenário e tendências de cyber crime na América Latina

Relatório da RSA, divisão de segurança da EMC, divulga tendências do crime cibernético na América Latina. De acordo com apuração dos agentes do FraudAction Intelligence da RSA, os Cavalos de Tróia criados para atacar clientes de bancos brasileiros, representam maioria dos ataques na região.

Os chamados Brazilian Bankers foram responsáveis por 32% das tentativas de fraudes no último ano. Na sequencia, foram identificados o Pony Stealer (21%), o Citadel (16%) e o Zeus v2 (11%).

Uma característica destacada no Relatório da RSA é que mesmo sendo considerada uma região, a América Latina possui um panorama divergente de ameaça e segurança formado por duas zonas: o Brasil e os países que falam espanhol. Esta divisão é significativa por resultar importantes diferenças no estilo de fraudes praticadas.

"É curioso que a barreira linguística também diminui o intercambio entre criminosos cibernéticos na região, mesmo que estejam fisicamente próximos. As comunidades do submundo da web são dinâmicas e ativas, mas a interação é mínima entre elas", acrescenta Marcos Nehme, diretor da Divisão Técnica da RSA para América Latina e Caribe.

Segundo o Relatório da RSA, hoje, o Brasil é considerado a maior comunidade de crimes cibernéticos no mundo em temas financeiros, gerando mais malware que o Leste Europeu, local para onde, tradicionalmente, é desviado o dinheiro roubado de bancos norte-americanos. Embora exista este grande volume, os ataques realizados no Brasil são menos sofisticados em comparação aos desenvolvidos ao redor do mundo.

Outro fenômeno apontado pela RSA é o fato do Brasil ter tornado-se foco de hacktivistas, que é uma junção de hacker e ativismo, ou seja, utilizam recursos como escritura de código fonte ou até mesmo manipular bits para promover ideologia política.

"É interessante avaliar que o universo digital está inteiramente ligado ao cenário social dos países. No caso do Brasil, nota-se que as manifestações populares estão na internet e nas ruas. Os hacktivistas muitas vezes picham sites de instituições, boicotam serviços online ou abrem informações de altos líderes como forma de protesto", diz.

Panorama de ameaças online no setor financeiro – De acordo com o relatório, a segurança dos serviços bancários online na América Latina é considerada um pouco menos avançada em comparação a outras localidades, como Alemanha e Holanda. Os motivos da defasagem são a baixa adoção de métodos de autenticação de banda externa e de soluções tecnológicas de autenticação, monitoramento e assinatura de transações.

Em relação aos tipos e de operação das fraudes, a América Latina é similar a outras regiões que enfrentam golpes financeiros online. As empresas que operam na região normalmente sofrem ataques já conhecidos nos Estados Unidos, Canadá e Europa. Alguns esquemas localizados também fazem parte das fraudes em cada país, dependendo dos tipos oferecidos pelas entidades financeiras e processadoras de cartões eletrônicos e pagamentos móveis.

 

Analisando os ataques cibernéticos mais comuns a clientes bancários, os criminosos buscam acesso aos serviços bancários dos titulares das contas por meio de phishing (quando tentam obter informações confidenciais), pharming (quando o site passa a apontar para um servidor diferente do original), cavalos de troia (quando o computador libera uma porta para uma possível invasão) e RAT (ferramenta de administração remota usada para controlar, em tempo real, PCs infectados).

"O fortalecimento econômico e os novos serviços financeiros requerem que a América Latina passe a implementar tecnologias de segurança e métodos antifraude que estejam sento utilizadas em outras partes do mundo. Para deter o rápido avanço do crime cibernético na região as instituições precisam focar em aspectos de lógicas analíticas comportamentais, pontuação de risco adaptável, monitoramento de transações, assinatura e lógicas analíticas de Big Data para impedir fraudes", acrescenta o diretor da RSA.

Foco na região

Após estudos de conversas específicas no submundo da internet entre fraudadores da na América Latina, os agentes do FraudAction Intelligence da RSA apontaram alguns comportamentos comuns praticados na região:

  • Fraudadores buscando cúmplices: um dos casos mais notáveis na região é a busca de cúmplices. Os fraudadores parecem não quererem vender ou trocar dados que conseguiram por meio de phishing ou trojan. Preferem fazer parcerias com agentes mais experientes para receber parte do saque quando ele for concretizado.

 

  • Esquema de saque sem cartão: Os fraudadores veem o saque sem cartão como uma das maneiras mais lucrativas de transformar dados roubados em dinheiro. No saque sem cartão, a retirada do dinheiro é inicialmente definida pela Internet ou por meio do celular. Quando uma retirada é solicitada, o destinatário recebe um código secreto em seu celular, via SMS, que permite que ele retire o dinheiro no caixa eletrônico. A identificação do cliente é mínima, geralmente, o código já é suficiente.

 

  • Compartilhamento de páginas de phishing: é comum que os membros de fóruns na região compartilhem paginas e kits de phishing voltados para obtenção de informações de cartões de pagamento. As paginas ou kits compartilhado gratuitamente são uma maneira para que os phishers "peguem carona" nas campanhas alheias, manipulando esses kits e recebendo as credenciais coletadas nos ataques.

 

  • Clonagem de cartão a partir de Dumps: na gíria de fraude, "Dumps" são conjuntos de dados de cartões de pagamento comprometidos que contém informações dos cartões que foram utilizados em situações reais de pagamento. Esses dados são obtidos por meio de processadores de pagamento hackeados ou skimming de cartões em lojas e caixas eletrônicos. Todas as situações de roubo são desenvolvidas para copiar a faixa magnética do cartão e extrair informações que são usadas na clonagem.

Tudo sobre infecções transmitidas em redes sociais

Se você só utiliza redes sociais para acompanhar a atividade de seus amigos, de familiares e de celebridades, então sua experiência é provavelmente bastante segura, pelo menos no que diz respeito ao seu computador. Mas saiba que você faz parte de uma minoria. A mídia social tem evoluído do compartilhamento de detalhes sobre a vida de cada um a algo que é muito mais perigoso: o compartilhamento de links. Compartilhar links e o clique subsequente para abrir esses sites mudou a paisagem da internet. Agora, malwares podem ser transmitidos de forma mais eficaz por meio da mídia social que por email. Por conta disso, é importante saber o que essas infecções podem fazer e como você pode evitá-las.

Mídias sociais são construídas com base na confiança. A lista de amigos é composta de pessoas e o usuário confia informações pessoais, como o lugar você está, o que está fazendo, quem está com você etc. A confiança em seus contatos leva o usuário a confiar também nos links que eles postam, sendo que você pode até clicar nestes links sem nunca ter levado nada disso em consideração. Este cenário dá a oportunidade de ameaças infectarem você ao conferir o vídeo compartilhado por um grande amigo.

Como funciona

Há uma série de truques utilizados por hackers para infiltrar malwares em seu computador. Alguns deles incluem:

• Enviar mensagens sobre temas populares, como celebridades ou notícias recentes, a fim de obter mais visualizações.

• Adicionar extensões maliciosas no seu navegador que pode roubar suas contas de mídia social.

• Fazer downloads parecerem provenientes de fontes legítimas, como atualizações falsas para o Flash.

• Desativar o antivírus do seu computador e enviar o usuário para sites comprometidos.

• Disfarçar softwares maliciosos como softwares legítimos e publicá-los em mídias sociais como oferta especial (também conhecida como Adware).

Como remediar

Tome cuidado. Se você encontrar um anúncio online que pareça bom demais para ser verdade, provavelmente você estará certo.

Ter senhas seguras vai além das precauções normais de letras misturadas, números e caracteres especiais. O mais importante é ter senhas únicas para cada uma de suas contas. Desta forma, ter uma conta violada não faz com que todas as outras fiquem vulneráveis. Também é importante não usar senhas que possam ser fáceis de adivinhar, como o genérico "123456" ou "password", ou datas de nascimento (que muitas vezes podem ser encontradas online).

Se você acabou de chegar em casa e viu que a sua conta no Twitter está enviando spam em uma língua estrangeira, ou você se identificar quaisquer outros sinais de uma infecção transmitida por redes sociais, siga imediatamente os seguintes passos:

- Alterar a senha da conta afetada para uma que seja mais segura, mais importante e que seja única. Faça o mesmo para todas as outras contas que possuem essa mesma senha.

- Acesse a página de aplicativos da rede social logada à sua conta e elimine privilégios de acesso de todos os aplicativos que você não reconhece.

- Rode o rastreador de vírus e malware em seu computador.

- Alerte amigos sobre o comprometimento da sua conta e que aconselhe a terem cuidado com mensagens estranhas que eles receberem de você.

Infecções transmitidas por mídias sociais estão ficando mais sofisticadas a cada dia. Como consequência, é quase impossível estar 100% protegido, a menos que você considere a abstinência completa da internet uma solução viável. No entanto, se você praticar uma navegação segura e usar o bom senso, suas chances de ser infectado por um malware de mídias sociais podem reduzir significativamente (e você pode voltar a assistir seus vídeos em paz).

Leandro Werder, engenheiro de sistemas da Fortinet

CERT.br divulga balanço das notificações de incidentes de segurança em 2013

Em 2013, o CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) do NIC.br (Núcleo de Informação e Coordenação do Ponto BR) recebeu 352.925 notificações de incidentes de segurança ocorridos na Internet brasileira. Em comparação com ano de 2012, este número teve uma queda de 24%.

De acordo com as estatísticas, apesar de uma queda de 27% nas notificações de ataques aos servidores web em relação a 2012, foi registrada uma grande quantidade de relatos de ataques contra sistemas de gerenciamento de conteúdo, como WordPress e Joomla. Estes ataques foram, em sua maioria, tentativas de adivinhação de senhas de administração destes sistemas. "Esse grande número de tentativas pode estar vinculado ao uso de senhas fáceis. Os administradores deveriam, além de manter os sistemas atualizados, utilizar senhas fortes", destaca Cristine Hoepers, gerente do CERT.br.

Também chamou a atenção que as notificações de varreduras SMTP (Simple Mail Transfer Protocol, 25/TCP) caíram 76% nos últimos 12 meses – mesmo período em que foi implantada a gerência de porta 25, no Brasil. Atualmente, o Brasil não figura mais como um dos países que mais enviam spam, de acordo com estatísticas mantidas por diversas entidades.

Resumo das notificações:

Tentativas de Fraude

  • As notificações de tentativas de fraude, em 2013, totalizaram 85.675, o que significa um aumento de 23% em relação ao ano de 2012.
  • Os avisos de casos de páginas falsas de bancos e sites de comércio eletrônico, também conhecido como phishing, cresceram 44% em relação a 2012.
  • Os relatos sobre Cavalos de Troia, utilizados para furtar informações e credenciais, tiveram um crescimento de 4% em relação ao ano de 2012.

Varreduras

  • Os serviços que podem sofrer ataques de força bruta continuam entre os mais visados. Abusos contra SSH (22/TCP) correspondem a 16% das notificações de varreduras de 2013. Em 2012, este ataques representavam 9% das notificações.
  • As varreduras sobre o serviço Telnet (23/TCP) parecem visar equipamentos de rede alocados nas casas de usuários finais, como por exemplo, modems ADSL, cable modems, roteadores Wi-Fi, entre outros. Em 2012 este dado correspondia a 2% das notificações de varreduras e, em 2013, a pouco menos de 4% das notificações.

Computadores comprometidos

  • Em 2013, o CERT.br recebeu 11.207 notificações de comprometimentos em computadores, o que representa 43% a mais do que em 2012.
  • Assim como em 2012, a maioria das notificações de computadores comprometidos de 2013 refere-se a servidores web que tiveram suas páginas desfiguradas.

As notificações reportadas ao CERT.br são voluntárias e refletem os incidentes de segurança envolvendo redes conectadas à Internet no Brasil.

Tuesday, 11 February 2014

Sem água, sem eletricidade: Um completo caos é uma ameaça real

Vulnerabilidades põem em risco plantas de água e energia.

Recentemente foram descobertas vulnerabilidades que podem permitir que hackers interrompam o fornecimento de água ou eletricidade, alertam pesquisadores.

Os ataques contra infraestruturas críticas estão cada vez mais poderosos e perigosos. Se imaginarmos que a água que bebemos, a eletricidade que chega às nossas casas, a sinalização dos transportes de massa (inclusive aéreos), o controle de usinas hidroelétricas e nucleares, todos estes serviços são controlados por sistemas de computação que podem ser potenciais alvos de hackers do mundo inteiro, temos um cenário com um risco potencial enorme.

Quais seriam as consequências, por exemplo, de uma invasão em sistemas de controle de uma estação de tratamento de águas responsável pelo controle dos reagentes químicos que são misturados para purificar a água que bebemos? E se um ataque hacker fosse capaz de desabilitar, mesmo que temporariamente, usinas hidroelétricas e nucleares causando blecautes nas cidades? Todas estas ameaças à infraestrutura crítica são hoje bastante reais.

Semana passada pesquisadores descobriram falhas nos sistemas SCADA, que controlam grandes infraestruturas, incluindo a energia, petróleo e gás e transportes. Foram descobertas vulnerabilidades na forma como um software SCADA de um grande fabricante criptografa e armazena senhas em seu banco de dados de projeto. A partir desta divulgação, hackers poderão explorar as falhas para ter acesso a Controladores Lógicos Programáveis – os sistemas responsáveis pelo controle de máquinas e outros processos.

Os pesquisadores também descobriram uma vulnerabilidade em outro sistema que permite que hackers, executando uma versão de demonstração, acessem remotamente instalações SCADA, o que é extremamente perigoso e um risco inaceitável para qualquer planta de automação crítica.

Os pesquisadores estimam que 90% dos sistemas que testaram podem ser invadidos através de ataques de baixa complexidade usando o Metasploit, um pacote de software de testes de penetração que simula ataques a redes e computadores.

Existe uma ferramenta de busca específica para equipamentos de plantas de automação denominada Shodan (www.shodanhq.com) que com uma simples procura localiza dispositivos industriais que estejam disponíveis para acesso remoto via Internet.

Simplesmente usando esta ferramenta é possível descobrir mais de 60 mil dispositivos de sistemas de controle industrial sob risco de ataque. Fica a minha dica: acesse o Shodan e coloque o nome de sua empresa na busca. Caso apareça algum dispositivo listado, tome as devidas providências para que ele saia da lista do Shodan. Lembre-se, se você encontrou este dispositivo, hackers do mundo inteiro também o encontrarão.

Marcelo Branquinho

CEO da TI Safe Segurança da Informação parceira da Módulo Security. Engenheiro de sistemas e computação formado pela UERJ com MBA em gestão de negócios. Especialista em segurança da automação, é membro da ISA e integrante do comitê internacional da norma ANSI/ISA-99 que estabelece as melhores práticas de segurança para redes de automação e SCADA.


Thursday, 6 February 2014

Paralisação do sistema: 10 passos para montar um bom plano de contingência

A maioria dos negócios, hoje em dia, depende de Tecnologia da Informação e de sistemas automatizados. Sendo assim, para algumas empresas, ficar "fora do ar" por algumas horas pode significar perdas incomensuráveis. Tudo depende do perfil do negócio e do quanto suas atividades estão diretamente ligadas às propriedades da web e aos serviços online. De todo modo, qualquer que seja o tempo de paralisação, sempre há prejuízo financeiro em caso de desastres naturais, provocados, ou fraudes.

Daí a importância de poder contar com uma equipe que concretamente atue na prevenção desse tipo de crise e consiga detectar e resolver problemas no menor prazo possível.

A virtude mais importante, então, é ter expertise necessária para elaborar e colocar rapidamente em ação um plano que reduza os desdobramentos da interrupção de funções críticas e recupere essas operações. Seguem 10 passos para montar um bom plano de contingência:

Conquistar a adesão da chefia. Gerentes, supervisores e diretores devem zelar para que todas as ações planejadas sejam colocadas em prática, determinando o que cada grupo deve fazer, em que prazo e a que custo. Esse envolvimento e comprometimento são fundamentais.
Montar uma equipe de gestão de crise. A formação do comitê deve levar em consideração características pessoais e profissionais necessárias para cada desafio. Entre as pessoas-chave estão o gerente operacional e o gerente de processamento de dados. Esse grupo deve estar apto a determinar as ações necessárias.

Desenvolver uma "análise de risco". O comitê deve preparar uma análise de risco que inclui o impacto nos negócios em caso de desastres naturais, técnicos e humanos. Além dos desdobramentos para os negócios, essa análise também deve contemplar a segurança de registros vitais para a empresa, bem como documentos críticos. Trata-se de uma medida fundamental para reduzir prejuízos em face do inevitável.

Estabelecer prioridades. Tudo o que é crítico dentro de cada departamento deve ser cuidadosamente analisado e classificado como 'essencial', 'importante', 'não essencial'. Principalmente o que diz respeito ao operacional, recursos humanos, sistemas de informação, serviço, documentação em geral (contratos, impostos etc.), registros vitais, além de políticas internas e procedimentos.

Determinar estratégias de recuperação. Alternativas fáceis de serem colocadas em prática devem ser avaliadas sob aspectos importantes: serviços, hardware, software, comunicação, pastas/dados, serviços on demand, sistemas e operações diversas. Essas alternativas dependem de uma criteriosa avaliação das funções do computador: site, hotsite, data centers, parque tecnológico, centro de serviços, ferramenta de vendas, arranjo de consórcio etc. É fundamental estabelecer um acordo que contemple: duração, testes, custos, procedimentos especiais de segurança, notificações de mudanças, horas destinadas à operação, equipamentos necessários, requisições profissionais, circunstâncias de emergência, possibilidade de prorrogação do contrato, garantia de compatibilidade, viabilidade, prioridades etc.

Avaliar o desempenho da coleta de dados. Isso inclui estar em dia com lista de backup, contatos telefônicos de pessoas-chave, registro de distribuição, inventário de comunicação, de documentação, de equipamentos, de contratos, de apólices de seguro, de hardware, dos fornecedores, dos clientes, do escritório, local de armazenamento externo, horários do serviço de backup, especificações do local temporário e outros materiais/documentos.

Preparar um documento descritivo. É importante preparar um documento que descreva em detalhes os procedimentos a serem tomados. Obviamente, a alta gerência deve revisar e aprovar o plano de contingência. Essa medida, embora simples, ajuda a organizar e conferir todos os procedimentos que devem ser tomados, identifica as principais etapas do processo, os procedimentos redundantes, e contribui com um 'guia' para o desenvolvimento dos procedimentos. Também é importante incluir a atualização do plano, a fim de contemplar qualquer mudança significativa interna, externa ou nos sistemas.

Desenvolver procedimentos-padrão para testes. É essencial que o plano de recuperação de desastres seja testado numa base realista ao menos uma vez por ano. O teste poderá comprovar para a alta direção que a empresa está segura ou, eventualmente, apontar quesitos que devem ser aperfeiçoados.

Fazer um checklist e testar cada item. Antes de concluir o plano de contingência, é necessário avaliar o papel de cada área numa cena de emergência, até a simulação de interrupção dos serviços.

Aprovar o plano. Uma vez que o plano foi elaborado e devidamente testado, é hora de aprová-lo junto à alta gerência – que deverá estabelecer políticas, procedimentos e responsabilidades de cada etapa do plano de contingência – além de atualizá-lo anualmente, fazendo todos os ajustes necessários.

Em resumo, o plano de recuperação de desastres envolve mais do que um backup e armazenamento de informações num lugar fora do ambiente físico da empresa. O plano tem de incluir procedimentos testados e documentados que devem ser seguidos à risca e revisados periodicamente – ainda que nunca tenha sido necessário lançar mão dele.

Nunca se sabe quando será necessário – somente quando a crise se instaura e somos pegos de surpresa. Por isso, é preciso ter sempre em mente as claras vantagens proporcionadas por um bom plano de contingência, como redução de perdas em potencial, redução da exposição e de eventuais arranhões à imagem da marca/empresa, redução de interrupções, distribuição de responsabilidades, mais segurança e melhores resultados para os clientes, além de um corte drástico nos níveis de estresse em casos críticos.

Adriano Filadoro, diretor de tecnologia da Online Data Cloud

Monday, 3 February 2014

Teles passam bancos e lideram queixas ao Procon em 2013


O setor de telecomunicações superou o bancário em 2013 e liderou o ranking de atendimentos do Procon-SP (órgão de defesa do consumidor).

Ao todo, foram 75.401 registros, 13,18% a mais que em 2012. Já o número de demandas contra os bancos teve queda de 10,74%, registrando 66.629.

O setor de microcomputadores/produtos de informática (14.099), que não apareciam no ranking de 2012, ficou na quarta posição.

Entre os grandes bancos, apenas as demandas de atendimento da Caixa Econômica Federal não apresentaram redução no período.

Nesse contexto, a Vivo/Telefônica alcançou a primeira posição no ranking de atendimentos por empresa, com 11.894 atendimentos, ante 9.863 do ano passado, um crescimento de 20,6%.

Apesar do alto número de demandas, o índice de resolução de atendimentos da Vivo/Telefônica é a segunda dentre as 30 empresas citadas no ranking, com 93,3% de pedidos respondidos.

Veja o ranking completo aqui.

Mesmo assim, o Procon ressalta que a empresa apresenta problemas especialmente na operação de telefonia fixa, como demora para realizar reparos ou atender pedidos de transferência de linha.

Além da Vivo, Claro, Tim, Net, Oi, Sky e Nextel constam na lista do Procon, em 3º, 6º, 7º, 8º, 10º e 25º lugares, respectivamente.

O Procon não considera, no entanto, a proporção de reclamações em relação ao número de usuários, o que pode gerar distorções.

Segundo o SindiTelebrasil, órgão que representa as teles, em São Paulo há 91 milhões de clientes de telefonia fixa e celular, banda larga e TV por assinatura.

Para entidade, rankings que não consideram essa proporcionalidade geram uma distorção na análise. O SindiTelebrasil também afirma que os dados do Procon se referem a atendimentos em geral, e não só reclamações.

A diretora de atendimento do Procon-SP, Selma do Amaral, discorda.

"As empresas aumentam sua base de clientes e só depois pensam em melhorar o atendimento", disse.

Ela afirma que a lista contém praticamente apenas reclamações.

O Procon disse, em nota, que falta às teles mais clareza na oferta de planos e que a estrutura para prestação ainda é deficiente no setor.

ONLINE

Em 5º lugar entre as mais reclamadas está o grupo Pão de Açúcar, que inclui Extra, Casas Bahia, Ponto Frio, Casasbahia.com e Pontofrio.com. Na Novapontocom, que reúne empresas de comércio eletrônico do grupo, as queixas cresceram 96,7%.

Segundo o Procon, há um desequilíbrio entre o crescimento do comércio eletrônico e o de canais de atendimento e logística das empresas.

OUTRO LADO

Clique aqui para ver a íntegra notas das empresas.

A Vivo afirmou que vem diversificando os canais de atendimento eletrônico e que está tomando ações para facilitar a identificação de cobranças.

O Itaú afirmou que reduziu o total de atendimentos e que, quando observado o número absoluto, é natural que empresas de grande porte tenham destaque.

A Claro afirmou que que investirá neste ano R$ 6,3 bilhões em infraestrutura.

O Bradesco afirmou estar atento para corrigir falhas e melhorar a qualidade do atendimento.

O GPA, que investe em treinamento e pós-venda para melhorar a qualidade dos serviços e aumentar índices de satisfação.

A TIM disse foca melhoria do atendimento e investe em infraestrutura e serviços.

A NET afirmou que investe em qualificação de atendentes.

A Oi, que seus investimentos focaram operações, engenharia e TI para assegurar qualidade do serviço.

O Santander informou que acompanha as reclamações e encaminha soluções para os clientes.

A Sky afirmou que mantém uma relação frequente com os órgãos de defesa do consumidor, adotando medidas para reduzir reclamações.

A AES Eletropaulo ressalta que atua junto ao Procon-SP para melhorar sua colocação nos rankings.

O Banco do Brasil afirmou conseguiu reduzir em 18,5% a quantidade de atendimentos em 2013.

O Grupo UOL, empresa controlada pelo Grupo Folha, que edita a Folha, afirma que o ranking apresenta números absolutos de reclamações, sem avaliar o quanto representam no total de clientes e de transações. No caso do PagSeguro, com milhões de clientes, diz que a proporção de reclamações é residual.

A Motorola disse que amplia seus pontos de atendimento para atender reparos mais complexos.

O Carrefour afirmou que resolveu mais de 85% dos casos o que caiu da 12ª para a 22ª posição no ranking.

O grupo Mabe (GE, Continental e Daco) afirmou atua para reduzir as manifestações e sair do ranking.

A Nextel disse que redobra seus investimentos em treinamento e contratações para os canais de atendimento.
A Akatus, que faz intermediação de pagamentos, afirmou que as queixas ocorreram por problemas com empresas para as quais não presta mais serviços.

A Abramge, que representa as empresas de planos de saúde, disse que o número caiu 4,9%, o que demonstra a melhoria no atendimento.

Caixa Econômica Federal, Samsung, Grupo B2W, Magazine Luiza, Sabesp, Votorantim, Grupo Microcamp, Electrolux e Abinee (que representa as empresas de microcomputadores e aparelhos celular) não responderam.

Representantes de Walmart, Mercado Livre e Lenovo CCE não foram encontrados.

Saturday, 1 February 2014

2014 – O ano da privacidade no Brasil

Omer Tene, professor do Stanford Center for Internet and Society e Fellow do Future of Privacy Forum, é um dos principais especialistas em privacidade no mundo. Segundo ele,[1] 2013 foi o ano da privacidade. Discordo de Omer. Não porque ele esteja enganado, mas sim porque ele não vive e trabalha no Brasil. Para nós, lhes asseguro, o ano da privacidade será 2014.

Conta Omer que, por lá, o ano de 2013 terminou com o site "dictionary.com" elegendo a palavra "privacidade" como "a palavra do ano". Que o tema "privacidade" fez as manchetes do The New York Times e do The Washington Post. Que chefes de estado se viram, ora assombrados, ora embaraçados pelo tema, o que resultou na aprovação pela ONU de resolução regulando a matéria.[2] Diz, ainda, Omer, sem esconder um breve suspiro de alívio, que 2013 foi o ano de alforria dos profissionais de privacidade, já que foi o ano em que passou a ser possível dizer "trabalho com privacidade" sem gerar semblantes de interrogação em uma conversa informal.

E daí? Algo muito diferente do que aconteceu no Brasil? Não. Então porque devemos eleger 2014 ao invés de 2013 como o ano da privacidade no Brasil? O motivo é simples: 2014 será o ano em que seremos regulados.

O Brasil é o único país membro do G20 que ainda não promulgou leis especificas para tutelar o direito à privacidade de dados pessoais. Em termos genéricos, a matéria é regulada por disposições contidas na Constituição Federal (artigo 5º, X e XII) e no Código Civil (artigo 21). Referidos dispositivos, seja por se limitarem ao estabelecimento de princípios (CF), seja por restringir-se à tutela de direitos individuais (CC), são dotados de eficácia jurídica limitada. Traduzindo para os leigos em Direito: valem de pouca coisa na prática. Verdade que há outras leis e regulamentos que tratam da privacidade, mas o fazem em contextos específicos, e.g. quanto ao sigilo fiscal e bancário, as comunicações, bases de dados de consumidores e prontuários médicos.

Este cenário institucional vinha se modificando a passos lentos. Contudo, pelo mesmo motivo que levou Omer Teme a eleger 2013 como o ano da privacidade, qual seja, as denúncias de espionagem americana feitas pelo Sr. Edward Snowden, o processo de regulamentação se acelerou.

Aqui, dentre outras medidas tomadas pelo Poder Executivo, solicitou-se ao Legislativo a promulgação de leis asseguradoras do direito à privacidade. A resposta dada pelo Congresso foi incluir no, já célebre, Marco Civil da Internet uma série de dispositivos sobre o tema. Referidos dispositivos foram transpostos ipsis litteris do Anteprojeto de Lei de Privacidade de Dados Pessoais que se encontrava ainda em fase de estudos no Ministério da Justiça. Segundo declarações da presidência da Câmara dos Deputados, o Marco Civil da Internet será aprovado já em fevereiro próximo.

Resulta disso que o Brasil está à beira de importante mudança institucional em matéria de privacidade. Ao longo de 2014 o país passará a contar com marco regulatório de privacidade de dados pessoais que rivaliza em rigidez com aqueles dos Estados Unidos e Europa.

Dentre as mudanças esperadas, a mais significativa será a criação de órgão regulador específico para fiscalizar a conduta das empresas e instituições que processem dados pessoais. Destas, passará a ser exigido durante a coleta, processamento e transferência de dados pessoais o cumprimento de normas de conduta e segurança específicas. Praticamente qualquer companhia que possua um website, fan pages em redes sociais e/ou colete dados pessoais por meios eletrônicos será obrigada a observar tais requisitos. Apenas a título exemplificativo, as punições em caso de violação podem incluir a suspensão das atividades de coleta e/ou processamento de dados e a aplicação de multas que podem chegar a 10% da receita anual do infrator.

Neste cenário fica fácil prever que todas – ou quase todas – as empresas que lidam direta ou indiretamente com o público deverão iniciar ou dar novo fôlego aos seus procedimentos de compliance em matéria de privacidade e segurança da informação. O grau de complexidade desses procedimentos será significativo, envolvendo profissionais de TI, marketing (incluindo marketing social), auditoria, advogados, dentre outros.

Por tudo isso é que fica fácil discordar de uma autoridade mundial no assunto. 2013 foi o ano deles. 2014 será o nosso ano da privacidade.

Gustavo Artese, Master of Laws (LL.M.) pela Universidade de Chicago e Líder das Práticas de Direito Digital, Privacidade e Propriedade Intelectual do escritório Vella, Pugliese, Buosi e Guidoni Advogados.

[1] https://www.privacyassociation.org/privacy_perspectives/post/2013_the_year_of_privacy

[2] http://www.bbc.co.uk/news/world-latin-america-25441408