Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas

Jéfer Benedett Dörrprof.jefer@gmail.com

● Noticias● Dados pessoais

● fraudes

Conteúdo

●A China Netcom, um dos maiores provedores chineses, foi vítima da perigosa vulnerabilidade no sistema de nomes e endereços da internet, conhecido tecnicamente como DNS, de acordo com a fabricante de segurança WebSense.●

●As vítimas são redirecionadas para sites maliciosos ­ alguns ainda estão ativos ­ que tentam explorar vulnerabilidade conhecidas em softwares como os tocadores RealPlayer e Flash Player.●Outro ataque tenta se aproveitar de um problema no controle ActiveX ●Caso o ataque tenha sucesso, o PC baixará um cavalo­de­tróia que cancela atualização de softwares de segurança,

Noticias

●Os scripts ‘envenenados’, inseridos no ecosistema de anúncios online, estão armazenando as URLs nas áreas de transferência dos usuários,●

●usuários revelam encontrar URLs estranhas em suas áreas de transferência após visitar sites legítimos, o que o levou à conclusão de que os anúncios estavam contaminados.●

●uma vez que a URL maliciosa for acessada pelo browser, a pessoa é levada ao site que está distribuindo os malwares.●

●Os usuários podem apagar a memória da área de transferência fechando o navegador 

Ataque inclui URLs maliciosas em área de transferência dos usuários

●Um homem da Flórida foi condenado a 15 meses de prisão e multado em mais de 415 mil dólares por vender consoles que tinham ao menos 76 games piratas em sua memória, revelou o Departamento de Justiça dos Estados Unidos na sexta­feira (18/08).●

●Kifah Maswadi, de 24 anos, foi acusado de infração de direitos autorais por vender os consoles portáteis Power Player com as cópias piratas dos games ­ a maioria da Nintendo ou de empresas licenciadas.●

●O criminoso vendeu os consoles entre 2006 e 2007, por meio de um site, e lucrou mais de 390 mil dólares.●

●Além da prisão e restituição à Justiça, Maswadi ficará três anos em liberdade assistida, além de ter que cumprir 50 horas de serviços à comunidade.

 Cuidados com seus Dados Pessoais●não fornecer seus dados pessoais (como nome, e­mail, endereço e números de documentos) para terceiros. ●nunca forneça informações sensíveis (como senhas e números de cartão de crédito), a menos que esteja sendo realizada uma transação (comercial ou financeira) e se tenha certeza da idoneidade da instituição que mantém o site.●Com isso, corre­se o risco destas informações serem repassadas sem sua autorização para outras instituições ou de um atacante comprometer este servidor e obter acesso a todas as informações.● Ao ter acesso a seus dados pessoais, um atacante poderia, por exemplo, utilizar seu e­mail em alguma lista de distribuição de spams ou se fazer passar por você na Internet (através do uso de uma de suas senhas).●Que cuidados devo ter em sites de redes de relacionamentos, como por exemplo o orkut?●

    Cuidados com os Dados Armazenados em um Disco Rígido●

●Caso você mantenha informações sensíveis ou pessoais que você não deseja que sejam vistas por terceiros (como números de cartões de crédito, declaração de Imposto de Renda, senhas, etc), estas devem ser armazenadas em algum formato criptografado.●

●Estes cuidados são extremamente importantes no caso de notebooks, pois são mais visados e, portanto, mais suscetíveis a roubos, furtos, etc.●

●Caso as informações não estejam criptografadas, se você necessitar levar o computador a alguma assistência técnica, por exemplo, seus dados poderão ser lidos ou copiados por uma pessoa não autorizada.●

●Para criptografar estes dados, além de serem utilizados para a criptografia de e­mails, também podem ser utilizados para criptografar arquivos. 

Um exemplo seria utilizar um programa que implemente criptografia de chaves pública e privada4, como o GnuPG. O arquivo sensível seria criptografado com a sua chave pública e, então, decodificado com a sua chave privada, sempre que fosse necessário.

É importante ressaltar que a segurança deste método de criptografia depende do sigilo da chave privada. A idéia, então, é manter a chave privada em um CD ou outra mídia (como pen drive, disco rígido removível ou externo) e que este não acompanhe o computador, caso seja necessário enviá­lo, por exemplo, para a assistência técnica.

Também deve­se ter um cuidado especial ao trocar ou vender um computador. Apenas apagar ou formatar um disco rígido não é suficiente para evitar que informações antes armazenadas possam ser recuperadas. Portanto, é importante sobrescrever todos os dados do disco rígido

Cuidados com Telefones Celulares, PDAs e Outros Aparelhos com Bluetooth●

●Telefones celulares deixaram de ser meramente aparelhos utilizados para fazer ligações telefônicas ● passaram a incorporar diversas funcionalidades, tais como: calendário, despertador, agenda telefônica e de compromissos, câmera fotográfica, envio e recebimento de texto e imagens, etc.●

●A tecnologia bluetooth tem sido introduzida em diversos tipos de telefones celulares para permitir a transmissão de dados entre eles ● conectar um telefone a outros tipos de dispositivo (por exemplo, fones de ouvido, sistema viva­voz de automóveis, etc). ●

●O fato é que a inclusão da tecnologia bluetooth em aparelhos como telefones celulares e PDAs, entre outros, trouxe alguns riscos que podem afetar a privacidade de seus usuários. 

Que riscos estão associados ao uso de aparelhos com bluetooth?

●Muitas vezes, um aparelho que fornece a tecnologia bluetooth vem configurado de fábrica, ou é posteriormente configurado, de modo que qualquer outro aparelho possa se conectar a ele, indiscriminadamente. ●

●O problema não reside no fato do aparelho disponibilizar a tecnologia, mas sim na má configuração das opções de bluetooth, que podem permitir que terceiros obtenham diversas informações de um aparelho. ●

●Estas informações podem incluir: agenda telefônica, agenda de compromissos, arquivos, imagens, entre outras.●

●Pode­se citar como exemplos os casos de algumas celebridades que tiveram todos os contatos telefônicos armazenados em seus aparelhos furtados e disponibilizados na Internet. ●

Fraudes

●atacantes tem concentrado seus esforcos na exploracao de fragilidades dos usuários, para realizar fraudes comerciais e bancárias atravás da Internet.●Para obter vantagens, os fraudadores têm utilizado amplamente e­mails com discursos que, na maioria dos casos, envolvem engenharia social e que tentam persuadir o usuário a fornecer seus dados pessoais e financeiros. ●Em muitos casos, o usuário e induzido a instalar algum código malicioso ou acessar uma página fraudulenta, para que dados pessoais  sejam roubados.

Scam

●Scam = Golpe●Fraude, geralmente com finalidade de obter vantagem financeira.●

●Sites de leilão com preços muito baixos – atrativos●Não receber o produto●Ter dados pessoais roubados●Comparar preço médio do produto

O golpe da Nigéria (Nigerian 4­1­9 Scam)●Você recebe um e­mail em nome de uma instituicao governamental da Nigéria (por exemplo, o Banco Central), solicitando que você atue como intermediário em uma transferência internacional de fundos. ●O valor mencionado na mensagem normalmente corresponde a dezenas ou centenas de milho es de dólares.                                                                 ẽ● Como recompensa, você terá direito de ficar com uma porcentagem (que e normalmente alta) do valor mencionado na mensagem. ●Para completar a transação e solicitado que você pague antecipadante uma quantia, para arcar com taxas de transferência de fundos, advogados...● golpe conhecido como Advance Fee Fraud, ou “a fraude de antecipacao de pagamentos”                                                                           ●   No nome dado a este tipo de fraude, Nigerian 4­1­9 Scam, o número “419” refere­se a secao do código penal da Nigéria que e violada por este golpe. ●E´ equivalente ao artigo 171 do nosso código penal, ou seja, estelionato.●Normalmente palavras como URGENTISSIMO, CONFIDENCIAL●Sempre seperguntar,pq vc escolhido para receber esta quantia.

●Hoax:●"embuste" numa tradução literal●histórias falsas recebidas por e­mail, sites de relacionamentos e na internet em geral, cujo conteúdo, além das conhecidas correntes, consiste em apelos dramáticos de cunho sentimental ou religioso, supostas campanhas filantrópicas, humanitárias ou de socorro pessoal ou, ainda, falsos virus que ameaçam destruir, contaminar ou formatar o disco rígido do computador.●

●Ainda assim, muitas pessoas acreditam em coisas impossíveis como alguns hoaxes que circulam pela internet. ●Existem hoaxes de que pessoas pobres farão uma cirurgia e que alguma empresa irá pagar uma determinada quantia em centavos para cada e­mail repassado.

●Em outubro de 2002, sugiram as mensagens dizendo que a música Aserehe (ou Ragatanga), um sucesso do grupo Rouge, é um "mantra que cultua as forças satânicas". A música é uma adaptação brasileira de Aserejé, grande sucesso (em 2003) do grupo espanhol Las Ketchup.●

●Outro exemplo do quanto um hoax pode ser perigoso, é de um que instruía o internauta a apagar o arquivo Jdbgmgr.exe de computadores com o Windows (esse boato se espalhou por e­mail e pelo Orkut). A mensagem dizia que esse arquivo era um vírus. Na verdade, trata­se apenas de um executável responsável por executar código em linguagem Java. Usuários que apagaram esse arquivo poderiam ter dificuldades em acessar sites de bancos, por exemplo, afinal é comum encontrar aplicações em Java nesses endereços.●

●Um outro tipo de hoax faz um abaixo assinado: conta uma mentira ­ como "O Orkut vai ser pago" ­ e pede ao internauta para adicionar seu nome e o número de seu documento de identificação no final de uma lista na mensagem, pois ela será entregue à empresa responsável.

● Há os casos de piadas envolvendo um termo científico como o monóxido de dihidrogênio, substância também conhecida como ácido hidroxílico e que o vulgo insiste em chamar de água. Essa terrível substância, de efeitos devastadores sobre o meio ambiente, estaria em vias de produzir uma hecatombe mundial e extinguir a vida sobre a face da terra.●

●Water net

Dicas:

­ Hoax quase sempre contém uma mensagem do tipo "espalhe essa mensagem para sua lista de contatos" ou "encaminhe este e­mail para o máximo de pessoas possível";­ Algumas mensagens citam nomes de empresas. Na dúvida, entre em contato com a companhia mencionada. Se a mensagem for falsa (e geralmente é), esse tipo de contato é bom, pois além da empresa esclarecer sua dúvida, ela poderá divulgar uma nota em seu site alertando sobre o problema;­ Nenhuma empresa oferece prêmios e faz divulgação por e­mail, exceto quando você está cadastrado em um serviço de newsletter dela. Além disso, nenhuma empresa oferece prêmios de valor extremamente alto;­ Nenhuma empresa conta a quantidade de pessoas que recebeu um determinado e­mail e depois faz doações correspondentes a essa quantia;­ Vírus perigosos são noticiados por empresas de antivírus, por sites de informática e até mesmo por sites de notícias em geral. Logo, e­mails que tratam de um vírus poderoso sem, ao menos, este ser citado nos sites mencionados, certamente são falsos;­ Se a mensagem afirmar que você terá azar, ficará solteiro(a) pro resto da vida ou que seus sonhos não se realizarão se o e­mail não for encaminhado... Bom, aí não é preciso nem dizer: é claro que se trata de um hoax!

Dicas:

­ Hoax quase sempre contém uma mensagem do tipo "espalhe essa mensagem para sua lista de contatos" ou "encaminhe este e­mail para o máximo de pessoas possível";­ Algumas mensagens citam nomes de empresas. Na dúvida, entre em contato com a companhia mencionada. Se a mensagem for falsa (e geralmente é), esse tipo de contato é bom, pois além da empresa esclarecer sua dúvida, ela poderá divulgar uma nota em seu site alertando sobre o problema;­ Nenhuma empresa oferece prêmios e faz divulgação por e­mail, exceto quando você está cadastrado em um serviço de newsletter dela. Além disso, nenhuma empresa oferece prêmios de valor extremamente alto;­ Nenhuma empresa conta a quantidade de pessoas que recebeu um determinado e­mail e depois faz doações correspondentes a essa quantia;­ Vírus perigosos são noticiados por empresas de antivírus, por sites de informática e até mesmo por sites de notícias em geral. Logo, e­mails que tratam de um vírus poderoso sem, ao menos, este ser citado nos sites mencionados, certamente são falsos;­ Se a mensagem afirmar que você terá azar, ficará solteiro(a) pro resto da vida ou que seus sonhos não se realizarão se o e­mail não for encaminhado... Bom, aí não é preciso nem dizer: é claro que se trata de um hoax!