Wednesday, 28 May 2014

Cibercriminosos usam iBanking para roubar senhas bancárias

Grupos de cibercriminosos russos começaram a usar o recém-descoberto ''malware premium'' para ampliar seus ataques em instituições financeiras ao redor do mundo. A ferramenta conhecida como iBanking, que tem alto valor comercial, segundo a Symantec é vendida sob um desenvolvido modelo de Software as a Service (SaaS).

A ameaça opera sob o GFF (General feature format) e o seu proprietário é capaz de vender assinaturas completas de software, com atualizações e suporte técnico por até U$S5 mil. Para os criminosos que não conseguem pagar a taxa de inscrição, o GFF também está preparado para fazer um acordo, oferecendo concessões em troca de uma parte dos lucros.

Com pacotes de assinaturas que contém atualizações e suporte técnico, a aplicação criada para Android é capaz de derrotar medidas de segurança fora de banda empregadas por instituições financeiras e interceptar senhas de uso único enviadas por SMS. A partir dela é possível também construir botnets móveis e vigiar o comportamento dos usuários por meio de seus smartphones.

A ameaça, detectada como Android.iBanking, se disfarça como uma aplicação de bancos, de segurança ou redes sociais e possui uma série de recursos avançados que permitem aos invasores alternar entre controle HTTP e SMS, dependendo da disponibilidade de uma conexão com a Internet. O malware é também capaz de roubar diversas informações a partir de um aparelho infectado, interromper comunicações de voz e de texto e, ainda, gravar áudios pelo microfone do telefone.

O preço elevado desta ameaça significa que o uso foi inicialmente centralizado as quadrilhas de cibercrime com bons recursos financeiros, mas, com o recente vazamento de seu código-fonte, a Symantec tem visto um aumento significativo na atividade em torno do iBanking e os ataques tendem a crescer ainda mais no futuro próximo.

Como funciona

Para estimular as vítimas a baixar e instalar o iBanking em seus dispositivos Android, os cybercriminosos utilizam táticas de engenharia social e enviam a computadores infectados mensagens pop-up, que solicitam a instalação de um aplicativo móvel como medida de segurança adicional a sites bancários ou redes sociais. Com a instalação, o usuário informa o seu número de telefone e sistema operacional do smartphone e recebe um link por SMS para o download do software falsificado. Se, por qualquer razão, o usuário não receber a mensagem, os invasores também fornecem um link direto e um QR Code como alternativas.

O iBanking pode ser configurado para se parecer com o software oficial de diversos bancos e redes sociais. Uma vez instalado, o invasor tem acesso quase completo ao aparelho e pode interceptar comunicações de voz e SMS. Por padrão, o malware busca por uma conexão de Internet válida. Se for encontrada, ela pode ser controlada através da Web através de HTTP. Se não houver conexão com a Internet, o controle muda para SMS.

Recomendações

Uma vez que as vítimas do malware geralmente são induzidas a instalar o aplicativo por um Trojan financeiro em desktops, manter o software antivírus atualizado ajuda a evitar a infecção.

É necessário também cuidado com as mensagens SMS que contêm links para baixar APKs (arquivos do pacote de aplicativos Android), principalmente a partir de fontes não-confiáveis. Alguns APKs do iBanking foram colocados em mercados confiáveis e os usuários devem estar cientes disto como uma potencial via de infecção.

Além disso, os usuários devem estar cientes sobre o compartilhamento de dados sensíveis através de SMS, ou pelo menos atentar a programas maliciosos buscando por esses dados.

Tuesday, 27 May 2014

TI e estratégia – do SaaS ao PaaS

O departamento de Tecnologia da Informação (TI) torna-se cada vez mais estratégico e pode ser fator primordial para determinar o grau de competitividade entre empresas de diferentes segmentos. As áreas de TI são as mais pressionadas a reduzirem custos e o grande desafio dos CEOs, atualmente, é fazer com que os processos sejam mais produtivos e eficientes com utilização de menos recursos.

Não à toa, tivemos a oportunidade de acompanhar a adoção gradual de modelos de computação em nuvem dentro das companhias e o aumento da procura por alternativas mais econômicas como SaaS (Software as a Service) e IaaS (Infrastructure as a Service).

Existe ainda uma camada intermediária entre SaaS e IaaS: Plataforma como Serviço (PaaS – Platform as a Service). Este modelo agiliza o tempo de criação de aplicações, com flexibilidade e a redução de custos. Ao optar pelo PaaS, o profissional de TI pode dedicar-se ao desenvolvimento, enquanto o seu fornecedor lida com questões como o gerenciamento, atualização e manutenção de infraestrutura. De acordo com o Gartner, líder mundial em pesquisas e aconselhamento sobre tecnologia, o mercado global de PaaS pode chegar a US$ 2,9 bilhões até 2016. Essa expectativa confirma a previsão de um cenário competitivo, com a entrada de grandes empresas de software neste nicho de mercado.

O PaaS permite que as pequenas e médias empresas tenham acesso às tecnologias que, em princípio, não seriam acessíveis a organizações destes portes, pois exigem altos investimentos iniciais. Com este modelo, é possível que fornecedores de software e companhias de TI criem soluções com menos gastos e sem a necessidade de manter uma infraestrutura própria.

Enquanto companhias de SaaS oferecem, em sua maioria, aplicativos já prontos, o PaaS disponibiliza a capacidade de desenvolvimento e implantação de ferramentas personalizadas de acordo com as necessidades e particularidades de cada organização. Além disso, com a plataforma como serviço é possível alocar o processamento de acordo com a demanda do mercado e dos negócios da empresa.

O Gartner aponta a existência de mais de 150 empresas que oferecem produtos parciais do PaaS, um número bastante expressivo se levado em consideração o tamanho, ainda pequeno, do setor. Por outro lado, a adoção deste novo modelo pode tornar-se morosa justamente em função desta fragmentação, já que muitas companhias ofertam funcionalidades específicas de forma, muitas vezes, isolada.

Economias emergentes, como é o caso do Brasil, deverão adotar a Plataforma como Serviço de acordo com a consolidação e amadurecimento do mercado. Os Estados Unidos da América (EUA), por exemplo, com economia já consolidada, representa em torno de 42% dos gastos mundiais com PaaS.

Utilizar a Plataforma como Serviço é uma tendência cada vez mais evidente. Algumas empresas já perceberam os benefícios em aderir este modelo de negócios que oferece, além de flexibilidade, escalabilidade. No entanto, ainda é preciso que o mercado atinja maturidade suficiente neste setor e, para isto, são necessários mais players focados em disponibilizar uma oferta completa. Com um mercado consolidado, as áreas de Tecnologia da Informação das companhias poderão ficar mais centradas no desenvolvimento de aplicativos e, consequentemente, as organizações poderão gerar cada vez mais negócios.

Wednesday, 21 May 2014

F-Secure lança solução de segurança única para todos os dispositivos

Pesquisa F-Secure Digital Lifestyle 2013 mostra que 89% dos consumidores usam computadores com Windows, 16% adotam computadores Apple, 39% smartphones Android, e 22% tablets Android. Mas a tendência multi-dispositivo traz um lado frágil: cada aparelho com acesso à Internet é uma porta de entrada para os criminosos digitais tentarem explorar o usuário. Para facilitar a vida do consumidor a F-Secure está colocando no mercado o F-Secure SAFE, solução única para proteger computadores e dispositivos móveis.

"Hoje, segurança significa proteger toda a vida online, o que inclui qualquer dispositivo que esteja conectado," diz Perttu Tynkkynen, diretor de vendas ao consumidor & marketing da F-Secure. "As pessoas em geral entendem que precisam proteger o seu PC, mas muitos estão deixando seus dispositivos Android vulneráveis, além dos Mac também. Com F-Secure SAFE, os consumidores podem ter a proteção que precisam para seu computador e ainda garantir segurança para os seus dispositivos móveis".

Smartphones e tablets são altamente vulneráveis a perdas e roubos, colocando dados, conteúdo e identidade dos consumidores em risco. Uma prova é que mais de 99% das novas ameaças a dispositivos móveis descobertas pelo F-Secure Labs no primeiro trimestre de 2014 destinavam-se a usuários de Android. Das 277 novas famílias de ameaças e variantes descobertas no período, 275 destinavam-se a Android, uma para iPhone e uma para Symbian. No mesmo trimestre do ano passado foram descobertas 149 novas famílias de ameaças e variantes, sendo que 91% destinavam-se a Android.

O F-Secure SAFE protege computadores, smartphones e tablets contra vírus, spyware, hackers e roubo de identidade, além de bloquear sites maliciosos e ataques online. Os pais podem proteger seus filhos de conteúdos impróprios. Em PCs ou Macs, a solução garante a segurança de transações bancárias, enquanto. smartphones e tablets são protegidos em casos de perda ou roubo com recursos que bloqueiam e localizam os dispositivos.

O F-Secure SAFE inclui um portal de auto-gestão onde os consumidores podem facilmente incluir ou remover dispositivos e mudar a proteção de um dispositivo para outro. Está disponível para computadores Windows e Mac e para smartphones e tablets Android.

A solução pode ser testada gratuitamente por 30 dias e está disponível para aquisição no link: www.f-secure.com/safe. Também pode ser adquirida no Google Play e por meio dos canais de parceiros globalmente.

Cinco dicas para não perder o foco em segurança digital

A falta de experiência em segurança digital, aliada à crescente complexidade das ameaças e redes, ambiente regulatório elevado e ritmo intenso de inovação, estão provocando uma movimentação interessante: as empresas começam a olhar para fora de seus "muros de proteção digital". Um estudo realizado pelo Gartner indica que o mercado mundial de terceirização de segurança atingirá mais de US$ 24,5 bilhões, em 2017.

O desafio é encontrar recursos financeiros para lidar com a cibersegurança evoluindo de uma forma eficaz. Para entender melhor as táticas cada vez mais eficazes dos hackers e se proteger, as organizações precisam mobilizar todos os aspectos de sua defesa estendida e do ataque contínuo – antes da invasão acontecer, agindo antes, durante e depois. É importante avaliar se o ataque foi destrutivo e se as informações foram roubadas ou sistemas danificados. Esse tipo de novo modelo de segurança está impulsionando mudanças nas tecnologias de segurança digital, produtos e serviços.

A primeira onda de fornecedores de serviços gerenciados de segurança (MSSPs) foi focada em produtos e ferramentas em funcionamento, manutenção, atualizações e treinamento. Porém, atualmente, os serviços de segurança digital precisam ser baseados em uma evolução constante e profunda das ameaças. Alguns analistas do setor estão começando a chamar essa nova ordem de serviços de proteção digital de MSSP 2.0.

Com base nas tarefas internas de segurança, orçamentos e prioridades dos negócios, as organizações podem optar por terceirizar mais ou menos as suas necessidades de segurança digital. Há cinco dicas que podem ajudar a garantir que as empresas mantenham o foco em proteção.

• Mantenha a capacidade plena de incorporar metadados HTTP em um modelo de telemetria que forneça a profundidade de informações necessárias para ajudar na detecção de ameaças baseadas na web. Quanto mais dados, maior será a eficácia do MSSP em zerar problemas na rede e isso se torna precioso, já que é como "procurar uma agulha em um palheiro";

• As técnicas de análise de Big Data são essenciais para alavancar a grande quantidade de dados obtidos, e não apenas internamente, mas em toda a empresa, em nível global. Esse mapeamento é muito importante a fim de detectar possíveis ameaças. Independente do número de telemetria utilizado, ao aplicar análises de dados robustas, ao invés, de realizar correlações simples, tem-se a certeza de que as detecções serão de alta fidelidade;

• Dependendo do tipo de dados na rede da empresa, os requisitos de segurança podem variar, dentro das garantias do MSSP. A equipe de TI precisa determinar qual será a abordagem para enfrentar os invasores e se serão necessárias ações alternativas. Essa decisão deve partir do nível de conforto dos profissionais, as partes afetadas legalmente e laudos técnicos;

• Os dados são muito úteis para as organizações e, por isso, devem existir e garantir que eles serão correlacionados para fornecer o contexto certo, com informações priorizadas. Assim, os profissionais poderão se concentrar nas ameaças realmente relevantes. Entender o MSSP é vital para determinar à organização quais são os verdadeiros focos de problema no sistema e ter acesso a dados altamente confiáveis;

• Para detectar e se proteger contra "ameaças de dia zero", as empresas devem ir além do tradicional point-in-time, visualização limitada dos sistemas, e contar com capacidades que permitam monitorar e aplicar a proteção em uma base contínua em toda a sua rede estendida.

Considerando os negócios atuais, regulamentações e segurança digital, as empresas estão cada vez mais olhando para fora de suas dependências físicas em busca de ajuda especializada para se proteger de ataques. Aplicando essas dicas, as organizações conseguirão manter o foco nas ameaças, obtendo a melhor proteção possível.

Raphael D'Avila, diretor de vendas para Sourcefire no Brasil, parte da Cisco

Tuesday, 20 May 2014

Governo americano usa as mesmas táticas de hackers, diz especialista

Os motivos podem ser diferentes, mas o governo dos Estados Unidos usa as mesmas táticas de invasão a computadores empregadas por cibercriminosos. Foi o que disse nesta terça-feira o especialista em segurança Bruce Schneier durante a Be Mobile Conference, evento promovido pela BlackBerry que acontece em Miami (EUA) nesta semana. Autor de diversos livros sobre o assunto, Schneier é reconhecido como um dos principais especialistas em segurança digital do mundo.

A diferença do que faz a NSA e um criminoso está no depois, quando a rede já foi invadida, se ele irá espionar os usuários ou roubar dados de cartão de crédito como foi com a Target”. No ano passado, hackers acessaram informações de 40 milhões de clientes da rede de lojas de eletrônicos.

Alvo de espionagem pela NSA, o Brasil é para Bruce Schneier um país que tem tido uma posição firme sobre ciberespionagem, ao lado da Alemanha. Para Schneier, ambos os países estão tomando atitudes interessantes que podem alterar o cenário atual.

Em se tratando de Brasil, o especialista citou a recente aprovação do Marco Civil, que além de regular a internet foi visto como uma resposta do governo às informações contidas nos documentos vazados por Edward Snowden.

Ataques anônimos são característica de guerra cibernética

Não saber o autor e o motivo do ataque é a principa diferença das ações pela internet em comparação ao que acontece nas guerras como as que conhecemos do passado. “Podemos identificar a origem dos ataques pelos alvos, mas é impossível ter certeza de quem e por quê. Em uma guerra tradicional, os Estados Unidos poderiam ser identificados nas ruas pelo tanque que só eles eram capazes de comprar, hoje não é mais assim”, exemplifica.

Para Bruce Schneier, essa impossibilidade de saber quem está por trás de um ataque e por que, se por dinheiro ou poder, é um dos grandes desafios, especialmente para os governos. O risco de uma guerra cibernética em larga escala, no entanto, foi descartado pelo especialista, que acredita apenas em ataques isolados e com alvos específicos.

Para Schneier, o desafio atual em termos de segurança é como se proteger, pois na era tecnológica, é muito mais fácil atacar do que defender. O especialista acredita que o caminho seja encontrar formas de descobrir os ataques com mais rapidez, no mesmo dia, minutos depois do ocorrido, e não dois anos depois, como aconteceu com o site do Dalai Lama.

Os administradores do site descobriram somente em 2013 que os servidores da Administração Central Tibetana haviam sido invadidos e infectados por um vírus e que seus visitantes estavam sendo espionados desde 2011. Na época, a Kaspersky divulgou que os ataques provinham da Ásia, possivelmente da China. Mas Schneier alerta que hoje é impossível ter certeza da origem de qualquer ataque, pois todos (pessoas, empresas e governos) utilizam as mesmas táticas.

* A jornalista viajou a Miami a convite da BlackBerry

Monday, 19 May 2014

Fraudes online fazem 77 mil vítimas por dia

É comum ouvir, diante do comentário de que alguém foi vítima de um golpista, a frase “Mas eu nunca cairia num golpe desses”. Apesar disso, cerca de 77 mil brasileiros sofrem diariamente em fraudes online, de acordo com dados da empresa de antivírus Norton. A crença de que a autoria do delito não será descoberta é o principal motivo que leva uma pessoa a não denunciar a prática.

No conto da noiva russa, por exemplo, uma pessoa envolve a outra de tal maneira que a acaba convencendo de mandar dinheiro para uma conta bancária com a justificativa de que “ela” gostaria de vir ao Brasil visitar o “amante”. Certamente, tal jovem não era nem jovem, nem bela, e, talvez, nem mulher.

— A internet expõe a gente. As pessoas sabem o que você faz, seu cotidiano. Certa vez, fui apresentar um programa numa web TV, antes de entrevistar a personagem, eu analisei o perfil dela numa rede social. Quando ela chegou, já fui falando do que ela gostava de fazer, e ela ficou assustada com tudo que fui falando. Estamos expostos ao perigo — contou Gilmar Lopes, criador do blog E-Farsas e pesquisador da web desde o início da internet no Brasil.

Os crimes cibernéticos vão além do estelionato, porém. Ataques à honra, extorsão, pedofilia e apologia ao crime também são cometidos na rede. E toda delegacia é obrigada a registrar a ocorrência e investigar os crimes virtuais.

No Rio de Janeiro, desde 2000 a apuração de casos de maiores complexidades é feita pela Delegacia de Repressão a Crimes de Informática (DRCI). De acordo com o titular da especializada, Alessandro Thiers, não existe uma classe social alvo dos crackers (indivíduo que usa seus conhecimentos para atos ilegais na web). Ainda segundo Thiers, mais de 40% dos casos ocorridos na internet são de crimes contra a honra. Seguido das fraudes de um modo geral e da pedofilia.

— Tudo que acontece no mundo virtual é real. São reais as empresas, as pessoas, elas podem não ser verdadeiras, mas são reais. A internet deixa rastro. Por isso, quase sempre chegamos a autoria desses crimes. A população tem que denunciar — afirmou o delegado.

Atenção aos filhos
Cuidado com o conteúdo que seus filhos têm acesso na internet. Caso eles usam sites de redes sociais, tenha sempre a ciência do que eles fazem com quem falam e sobre o que falam.
Bom demais...

Cuidado com e-mails de ofertas boas demais ou de produtos muito baratos.

Desconfie

Se você começar a receber e-mails de resposta de algo que você não enviou, desconfie.

Contas pessoais

Evite usar computadores de uso coletivo para acessar suas contas pessoais;

Extensões de arquivos

Cuidado com arquivos de extensões como “.exe”, “.rar” ,“.pif”, “.dll”, “.scr”, “.com” e “.zip”. É comum usuários mal intencionados enviarem arquivos com vírus disfarçados de música, filmes, programas etc.

Friday, 9 May 2014

Bancos são multados por falhas no sistema de segurança

A Polícia Federal multou oito bancos, na soma de R$ 272.066 ,94, por falhas na segurança de agências e postos de atendimento bancário. As autuações que passaram pela Comissão Consultiva para Assuntos de Segurança Privada (CCASP), do Ministério da Justiça, puniu com a multa mais alta, pela terceira vez consecutiva, o Banco do Brasil, que recebeu sanção no valor de R$ 97.551,36; em seguida, o Bradesco, R$ 49.657,29; a Caixa Econômica Federal, R$ 39.016,29; o Itaú, R$ 31.924,06; o Santander, R$ 25.186,18; o HSBC, R$ 14.187,65; o Banrisul, R$ 10.642,06; e o Alfa, R$ 3.902,05.

Os bancos foram autuados em processos movidos pelas delegacias estaduais de segurança privada (Delesp), por causa do descumprimento da lei federal nº 7.102/83 e das portarias da Polícia Federal. Também foram punidas empresas de segurança, vigilância, transporte de valores e cursos de formação de vigilantes.

As principais infrações cometidas pelos bancos foram relativas a equipamentos inoperantes, número insuficiente e falta de rendição de vigilantes no horário de almoço, transporte de valores feito por bancários, inauguração de agências sem plano de segurança aprovado e cerceamento da fiscalização de policiais federais.
“Essas multas comprovam que os bancos continuam atuando com descaso na segurança dos estabelecimentos . Os bancos olham a segurança como custo que pode ser reduzido para aumentar os lucros, em vez de cumprir a legislação e fazer investimentos para prevenir assaltos e sequestros e proteger a vida dos bancários, vigilantes e clientes”, afirmou em nota Leonardo Fonseca, representante da Confederação Nacional dos Trabalhadores do Ramo Financeiro (Contraf-CUT) na CCASP.

Em resposta a notificação de multa, o Banco do Brasil informou que “possui a maior rede de atendimento, em todas cidades no país; cumpre a legislação; e investe recursos significativos em segurança, inclusive em modernos equipamentos que vão além do exigido pelos dispositivos legais. Em relação às multas, o banco está avaliando as causas para adoção de medidas administrativas adequadas.”

Já o Bradesco garantiu que “atende às normas de segurança estabelecidas pela Lei Federal 7102/83, que regula a segurança de todo o sistema financeiro.”

O Santander informou “que está analisando as situações apontadas pela Polícia Federal para adotar as medidas cabíveis. O banco ressalta que cumpre as determinações do Plano de Segurança em suas agências, bem como as demais exigências da Lei Federal nº 7.102/83.”

O Itaú Unibanco afirmou que irá recorrer.

Consultados, a Caixa Econômica Federal e o HSBC ainda não se pronunciaram.

Não foram localizados representantes do Banrisul e do banco Alfa.

Em nota, a Federação Brasileira de Bancos (Febraban) esclarece que os problemas apontados são pontuais e não se refletem numa redução dos padrões e procedimentos de segurança seguidos pelos bancos. Tanto que os investimentos na área avançaram de forma significativa nos últimos anos passando de R$ 3 bilhões/ano, em 2002, para R$ 9 bilhões, em 2013. Tais investimentos levaram o número de assaltos a banco a cair em todo o país ao longo dos anos. De acordo com dados de 17 instituições financeiras, segundo a Febraban, em 2013 foram registrados 449 assaltos e tentativas, o que corresponde a uma queda de 76,4% em relação ao total de 1.903 assaltos e tentativas verificados em 2000. A federação afirma compartilhar a preocupação da população e das autoridades com a segurança e a integridade dos clientes e funcionários de bancos. A entidade diz ainda atuar na elaboração de ações propositivas que visem à segurança dos bancos, dos funcionários e usuários e também em parcerias com órgãos públicos no combate à criminalidade.


© 1996 - 2014. Todos direitos reservados a Infoglobo Comunicação e Participações S.A. Este material não pode ser publicado, transmitido por broadcast, reescrito ou redistribuído sem autorização.

Trend Micro identifica brechas de segurança em empresas

A Trend Micro fez uma avaliação de segurança da informação com base nos últimos serviços Deep Discovery, executados em empresas brasileiras com mais de dois mil computadores. O levantamento aponta que as companhias não estão preparadas para possíveis novos ataques cibernéticos.

Os números de malwares são os mais relevantes. Foram detectados malwares já conhecidos em 98% das análises, sendo que em 72%, se tratavam de malwares bancários, e, em 30%, malwares para Android. Em 58% das análises, foram encontrados malwares não conhecidos.

Foi constatada a presença de botnets ativas – redes zumbis controladas por atacantes que podem roubar dados confidenciais dos computadores infectados e distribuir conteúdos não-solicitados, como spams, sem que o operador da máquina tenha conhecimento. Essa ameaça estava presente em cerca de 90% das máquinas. Também foram encontradas aplicações não autorizadas em 82%, documentos maliciosos em 66%, e conexões a serviço de Cloud Storage em 80%.

Os principais riscos identificados nas empresas foram:

- Vazamento de informações confidenciais;
- Funcionários e empresa como vítimas de ataques bancários;
- Uso da infraestrutura da empresa para ataques a terceiros;
- Presença constante de atacantes dentro da rede;
- Sequestro de informações cruciais ou críticas, cobrando o resgate da empresa ou vendendo as informações para outros;
- Espionagem.

"A falta de segurança é um problema grave e as empresas nem sempre têm essa percepção. Elas correm riscos, como o vazamento de informações confidenciais, fraudes bancárias e até de ter ataques realizados a partir de sua rede, sem saber. A empresa ainda pode ter suas informações sequestradas e correr o risco do atacante vendê-las para um terceiro, sem a possibilidade de recuperar esses dados", diz Leonardo Bonomi, diretor de Tecnologia e Suporte da Trend Micro.

Estar com as aplicações atualizadas e ter uma estratégia de proteção em camadas são a melhor maneira da empresa se proteger de possíveis ataques. "Para se prevenir, é muito importante que as empresas tenham uma estratégia eficiente de segurança em camadas, que proteja todas as máquinas e a rede da empresa", finaliza Bonomi.

Wednesday, 7 May 2014

Interceptações telefônicas e de dados têm nova resolução no Rio

O Tribunal de Justiça do Estado do Rio de Janeiro, o Ministério Público estadual, a Secretaria de Segurança Pública e as Polícias Civil e Militar do Rio assinaram nesta terça-feira uma resolução conjunta que regulamenta o uso do Sistema Guardião nas interceptações telefônicas e de dados para fins de investigação criminal. Utilizado pelas Polícias Civil e Militar, o Sistema Guardião consiste no monitoramento de dados e voz , na interceptação de voz via telefonia, rádio e dados da internet, todos com acesso seguro e informações criptografadas.


© 1996 - 2014. Todos direitos reservados a Infoglobo Comunicação e Participações S.A. Este material não pode ser publicado, transmitido por broadcast, reescrito ou redistribuído sem autorização.

Monday, 5 May 2014

Há senhas de privilégio que estão há décadas circulando no data center


Mesmo naquelas empresas mais organizadas, e para as quais TI é um aspecto altamente crítico, ainda é pouco comum a prática de controles efetivos sobre as credenciais privilegiadas.

Em outras palavras, até mesmo nos grandes bancos, operadoras de telecom e repartições centrais dos governos, ainda é comum existir uma quantidade desconhecida de senhas, procedimentos de privilégio ou algoritmos que dão acesso a um indivíduo para que ele manipule, ou visualize, toda a sorte de dados, aplicações de negócios e ferramentas de processo no ambiente de TI.

As credenciais privilegiadas, em grande parte produzidas e utilizadas sem controle, são dispensadas de qualquer restrição de acesso, e liberam o usuário para ações em sistemas críticos, quase sempre sem qualquer supervisão ou registro.

Com essa salvaguarda lógica, uma pessoa ou aplicação pode alterar configurações, instalar ou desinstalar programas , mudar os parâmetros de segurança, ativar ou desativar ferramentas, visualizar o que quiser e ainda adulterar apagar os logs que permitiriam seu mapeamento reverso.

Ao se habilitar com uma senha de acesso a dados, o usuário ganha, compulsoriamente, poderes para acessar até 98% do ambiente tecnológico de uma empresa, segundo levantamento da Lieberman, uma das lideres globais em tecnologia de controle de privilégio.

Estamos falando, nesse caso, de acesso direto a servidores Windows, Linux, mainframe, diretórios, roteadores, aplicações de negócio, bases de dados e sistemas de infraestrutura, backup e etc. Por aí, podemos ter uma ideia do alto custo desses descontrole.

Como é comum acontecer, explicações para tal descontrole existem para todos os gostos. Em primeiro lugar, está o dinamismo e a rapidez com que a TI avança, abarca mais funções e mais pessoas, e vai ganhando uma complexidade que tende naturalmente pra o descontrole.

Assim, quando um gestor se dá conta, a situação já está instalada e, quanto mais robusto o ambiente, maior a dificuldade de se dar um freio de arrumação.

Por diferente que possa ser o diagnóstico, o certo que o gestor de TI enfrenta, desde sempre, um dilema muito difícil: como negar sistematicamente o acesso – ou atrasá-lo pelo prazo necessário – quando um funcionário da empresa (ou mesmo um terceirizado) necessita imediatamente interagir com a estruturara de TI para garantir o funcionamento do negócio?

Vejamos o caso da operadora de telecom, que é uma situação típica. É viável regular estritamente o acesso, sem comprometer serviços de ativação, assistência técnica e garantias de SLA que envolvem milhares ou até dezenas de milhares de aplicações e pessoas?

É para enfrentar esse dilema que equipes de especialistas brasileiros da NetBR, com apoio de companhias como Lieberman, ObserveIT, Balabit e Viewfinity, vêm trabalhando há cinco anos na construção de uma estratégia de controle de privilégio baseada em ferramentas e práticas cujo sucesso já e atestado no Brasil por alguns bancos e operadoras de telecom, hoje reconhecidas como vanguarda mundial no assunto.

Ao longo desse processo, constatou-se uma dificuldade extra na solução do problema, ao se ressaltar que não somente pessoas acessam contas privilegiadas. Dentro de uma organização, é muito provável que existam múltiplas aplicações configuradas para acessar bases de dados, mainframe, servidores e outros sistemas críticos utilizando credenciais privilegiadas.

Um dos clientes brasileiros comenta que optou por não mudar as senhas de suas credencias privilegiadas devido à dificuldade de atualizar as aplicações de negócio.

A preocupação do cliente era a de, ao propagar a nova senha para as diversas aplicações, poderia haver uma paralisação do sistema, ou de parte do sistema, por conta de alguma senha esquecida ao longo do tempo. Preocupação esta que decorre da grande falta de visibilidade das empresas em relação a que senhas existem, quem são seus usuários, grupos de acesso, credencias, contas, etc…

Preocupação, portanto, muito pertinente. Mas a experiência recente mostra que há saída e que ela pode ser adaptar às circunstâncias da empresa. Ou seja, as novas práticas e ferramentas de controle podem ser implementadas em curto prazo – a custa de alto investimento e rigoroso controle de riscos – ou ir sendo implementadas de forma gradual, com medição de ganhos a cada passo, de modo a justificar o investimento paulatino à luz das métricas de ROI.

É papel da consultoria, nessa área, garantir os seguintes requisitos:

1 Identificar, rastrear e produzir um inventário completo das contas privilegiadas que estão ativas em seu ambiente

2 Fazer cumprir as normativas de segurança e políticas avançadas de senhas com troca de senhas randômicas, de forma periódica.

3 Controlar o acesso e ter certeza de que somente o pessoal autorizado terá acesso aos sistemas críticos.

4 – Implementar a monitoração, quando um sistema crítico está sendo acessado, sob visão de Segurança e de Nível de Serviço.

5 – Apresentar uma solução que seja transparente ao ambiente, á operação e, principalmente, ao Negócio.

André Facciolli, diretor da NetBR


Saturday, 3 May 2014

EUA vão estender proteção à privacidade de dados a cidadãos não americanos

Na tentativa de tirar de pauta, tanto da imprensa nacional quanto da internacional, o assunto sobre o polêmico programa de espionagem da Agência de Segurança Nacional dos EUA (NSA), a Casa Branca divulgou na última quinta-feira, 1º, um relatório o qual recomenda que a proteção à privacidade de dados dos Estados Unidos seja estendida para não americanos.

O relatório, que é parte do plano de revisão do programa de vigilância da NSA, revelado pelo ex-colaborador da agência de inteligência Edward Snowden, cujo vazamento dos dados deu origem às reportagens, toca em muitas das preocupações em relação à privacidade dos usuários de internet levantadas pela União Europeia.

Para muitos analistas políticos da imprensa americana, porém, o anúncio parece ter sido programado para tirar um pouco da tensão antes da reunião, nesta sexta-feira, 2, do presidente Barack Obama com a chanceler alemã Angela Merkel — no ano passado, um diretor da NSA teria reconhecido implicitamente em um encontro com representantes alemães que seus agentes espionaram um telefone celular da chanceler.

A divulgação também coincide com a visita do presidente da Comissão Europeia, José Manuel Durão Barroso, ao Vale do Silício, na Califórnia, berço das maiores empresas de tecnologia do mundo.

O relatório, cujo autor principal é John Podesta, um alto conselheiro da Casa Branca, faz seis recomendações, embora a maioria precise da aprovação do Congresso Nacional americano para a criação de uma legislação adicional ou revisão das orientações existentes. Mas, em teleconferência com jornalistas, Podesta disse que o trabalho para que a aplicação da Lei de Privacidade de 1974 seja estendida a pessoas não americanas começaria imediatamente e deve ser concluído dentro de seis a 12 meses.

Na entrevista, Podesta disse que o presidente Obama foi surpreendido sobre as atividades da NSA e ressaltou que "as tecnologias não são utilizadas apenas pela comunidade de inteligência, mas agora, de forma mais ampla, nas esferas pública e privada, pois há muita coleta feita na web, de smartphones e outros sensores". "Você tem uma torrente de dados em todos os lugares", disse ele, numa referência às práticas de empresas como Google e Facebook, que fazem uso das informações que recolhem de seus clientes online.

Mas, se foi bem recebido pela Comunidade Europeia, o relatório é visto com cautela no Vale do Silício, onde as empresas consideram a medida como o início de um esforço do governo americano para regular a forma como eles podem obter lucros com os dados coletados a partir de e-mails e hábitos de navegação dos usuários na web.

Podesta observou que a decisão de estender a privacidade de dados é separada das reforma que Obama pretende fazer nas atividades de inteligência dos EUA no exterior, mas ressaltou que é "um compromisso significativo". Segundo ele, a medida procurará garantir que os departamentos do governo dos EUA e as empresas tratem os dados de estrangeiros com base nas mesmas garantias de privacidade aos americanos "sempre que possível, ou para estabelecer políticas de privacidade alternativas, com as proteções apropriadas e significativas às informações pessoais, independentemente da nacionalidade de uma pessoa".

Big data discriminatório

O relatório também faz recomendações para impedir que empresas usem big data para discriminar pessoas, o que foi recebido com cautela por defensores da privacidade, que se disseram desapontadas pelo governo não ter ido mais longe. "A Casa Branca deveria ampliar a análise das questões relacionadas a big data, incluindo o reconhecimento do papel discriminatório que esta tecnologia pode jogar", disse Jeffrey Chester, do Centro de Democracia Digital, ao jornal britânico Guardian.

"O relatório não conseguiu identificar o complexo de vigilância comercial que tem sido posto em prática pelo Google, Facebook, e muitas outras empresas que têm como base de seu negócio os dados… Na verdade, estamos preocupados que o relatório possa dar o sinal verde para a expansão da coleta de dados, cujo princípio é 'coletar primeiro e se preocupar com a privacidade e a proteção dos consumidores mais tarde'", disse Chester.

Podesta disse que houve, sim, a preocupação sobre como esses softwares podem afetar o acesso das pessoas a empréstimos bancários ou na busca por uma vaga de emprego. "Eles [os softwares de big data] podem parecer neutros, mas não são tão neutros quando colocados juntos." O problema potencial , acrescentou, é que "você está agravando a desigualdade , em vez de abrir oportunidades".

Algumas grandes empresas, incluindo Google, Facebook e Microsoft, se recusaram a comentar o relatório. Mas Michael Beckerman, presidente da Associação de Internet, que reúne essas empresas, chamou o relatório de "um exame útil da tecnologia de big data". Segundo ele, agora que o relatório foi publicado, empresas e governo devem "concentrar a atenção nas prioridades mais urgentes da privacidade dos consumidores norte-americanos, e reformar as leis e as práticas de vigilância do governo por meio da atualização da Electronic Communications Privacy Act [a lei de privacidade cibernética]", disse ele ao New York Times.

Thursday, 1 May 2014

OAB-SP questiona resolução do CNJ sobre processo eletrônico

A seccional paulista da Ordem dos Advogados do Brasil (OAB/SP) e a Associação dos Advogados de São Paulo impetraram, no Supremo Tribunal Federal (STF), mandado de segurança solicitando que seja suspensa a eficácia da Resolução 185/2013 do Conselho Nacional de Justiça (CNJ), que "institui o Sistema Processo Judicial Eletrônico (PJe) como sistema de processamento de informações e prática de atos processuais e estabelece os parâmetros para sua implementação e funcionamento".

De acordo com os autos, a resolução impugnada dá prazo de 120 dias aos tribunais para que apresentem cronograma de sua implantação. E veda, a partir de sua vigência, a criação, o desenvolvimento, a contratação ou implantação de sistema ou módulo de processo judicial eletrônico diverso do PJe, admitindo exceções apenas em restritas hipóteses.

A OAB-SP e a associação dos advogados paulistas sustentam que a resolução restringe o acesso à Justiça, ao não dar ao jurisdicionado alternativa que não o sistema para deduzir a reparação dos seus direitos, "uma vez que vedada a utilização de qualquer outro sistema de peticionamento eletrônico".

As duas entidades alegam que o sistema PJe foi imposto pelo CNJ um ano depois de o Tribunal de Justiça do Estado de São Paulo (TJ-SP) investir cerca de R$ 300 milhões na implantação de um novo sistema informatizado, que obrigou os escritórios de advocacia a também fazerem grandes investimentos em equipamento e treinamento de pessoal para as adaptações necessárias. E, um ano depois, o CNJ impede o acesso à Justiça por aquele meio, determinando a adoção do seu PJe.

"Não é razoável que o CNJ modifique a orientação em tão curto espaço de tempo", sustentam. "É ilegal ato coator que obriga os advogados de São Paulo a não mais se utilizarem do sistema adotado do Tribunal de Justiça, impedindo-os de promover estudos, planejamento, desenvolvimento e teste, inviabilizando o pleno funcionamento do sistema eleito originariamente, em detrimento desse essencial serviço à cidadania que é a prestação jurisdicional".

As entidades lembram que o TJ-SP é o maior tribunal do país e, como tal, "enfrentou inúmeros percalços para conseguir informatizar toda a sua estrutura e alcançar o estágio em que se encontra no momento". Por fim, afirmam que a corte paulista não tem previsão orçamentária para implantação do PJe neste ano de 2014.

Após pleitear a concessão de liminar, as entidades pedem, no mérito, a concessão definitiva da segurança para cassar a resolução questionada.