Notícias

Pesquisadores da Universidade de Newcastle, na Inglaterra, criaram um novo sistema de segurança para dispositivos móveis baseado em senha gráfica. Ao invés de usar letras e números para as senhas, o programa utiliza desenhos. Os testes mostram que a senha gráfica é mais segura do que as senhas tradicionais, além de serem mais fáceis de serem lembradas.

Muitas pessoas acham difícil lembrar as senhas, por isso escolhem palavras que são fáceis de se lembrar, ficando mais suscetíveis à ação dos crackers, diz o cientista da computação, Jeff Yan, que coordenou o trabalho, de acordo com o site Inovação Tecnológica.

Desenhe sua senha

O novo sistema de segurança, batizado de Desenhe um Segredo, permite que o usuário desenhe sua senha na forma de uma imagem, criada à mão livre sobre um fundo reticulado.

O programa armazena o desenho na forma de uma seqüência ordenada de células, cada célula correspondendo a um quadrado do reticulado. Além da imagem propriamente dita, o programa guarda também quantas vezes a caneta é levantada.

Imagem de background

Os pesquisadores descobriram que a colocação de uma imagem de background por trás do quadriculado não apenas facilita a lembrança da senha, mas também faz com que os usuários desenhem senhas menos previsíveis, maiores e mais complexas - logo, muito mais seguras.

Por exemplo, se a pessoa escolhe a imagem de uma flor para background e desenha como senha uma borboleta sobre a flor, o que ele deverá se lembrar é onde começa e onde termina o desenho, que deverá estar contido na mesma porção do quadriculado - afinal, é virtualmente impossível fazer dois desenhos à mão livre exatamente iguais.

Apenas dois dias após o Google divulgar o kit de desenvolvimento de software para sua comunidade de desenvolvedores, hackers demonstraram duas formas de alterar conteúdos inseridos por usuários em seus perfis de diferentes redes sociais.

Um hacker conhecido como theharmonyguy conseguiu tanto alterar as imagens de visualização de usuários da rede social Plaxo que incluíram em seu perfil o aplicativo RockYou OpenSocial como ter acesso à lista de amigos de usuários do serviço iLike dentro da rede Ning.

Para provar o hack, theharmonyguy alterou emoticons no perfil do vice-presidente de marketing da Plaxo, John McCrea, e não só teve acesso à lista privada de amigos do fundador da Ning e criador do navegador Netscape, Marc Andreessen, como a compartilhou com o blog TechCrunch.

Segundo o hacker, ambos os hacks levaram juntos cerca de uma hora para que fossem realizados, período de tempo bastante curto para alterações de dados pessoais por um agente externo em um ambiente supostamente seguro.

A premissa mais festejada do OpenSocial é a capacidade que desenvolvedores têm de usar uma API base para a criação de diferentes aplicativos que podem ser adicionados a sete redes sociais que suportam a plataforma - Orkut, LinkedIn, Ning, Hi5, Plaxo, MySpace e Friendster.

Segundo o Google, o OpenSocial obedecerá à mesma política de publicação de conteúdo em outros dos seus serviços online - usuários podem oferecer aplicativos livremente e o buscador fará varreduras constantes para verificar se há códigos maliciosos ali.

De acordo com o hacker, a falha no aplicativo do RockYou continua funcionando, mesmo com alertas de segurança repassados à empresa.

Segundo estudo mundial realizado pela empresa de segurança britânica TI Prevx, um de cada seis computadores do mundo está infectado de spyware ou outros tipos de malware.

A porcentagem na Espanha, de acordo com outra investigação realizada pela Panda Software, essa quantia é ainda maior, alcançando um terço dos quase 5 milhões de equipamentos em uso no país.

Os dados da pesquisa de baseiam em uma análise de 300 mil PCs, dos quais, 15,6% tinham instalado ao menos um spyware ativo ou outros programas de malware.

Além disso, de acordo com a Prevx, estes programas – que incluem sistemas para o registro de pulsações de teclado, software desenhado para o roubo de informações e falsos antispyware – emergem a ritmos de entre 5 mil e 10 mil novas incidências diárias.

Dos 300 mil PCs tomados como mostra, aqueles que não contavam com nenhum software de segurança instalado tinham níveis de infecção 60% superiores dos equipamentos protegidos mediante alguma classe de antivírus, anti-malware ou outros programas de segurança.

A Prevx adverte que os principais fornecedores de sistemas de segurança não está sendo capaz de seguir o ritmo marcado pelos criadores de malware. Durante os últimos três meses, a capacidade do software de segurança da Microsoft, Symantec e Trend Micro para detectar spyware e malware da nova criação foi de entre 10% e 50%, segundo a companhia.

Especializada no desenvolvimento de software para a análise de PC em busca de malware e spyware, a Prevx oferece seu software em forma de descarga gratuita e adverte sobre a necessidade de que os usuários modifiquem seus hábitos de navegação.

A empresa de segurança Intego revelou informações a respeito de um ataque direcionado a usuários de Mac OS X.

Uma rede de computadores sob o controle de criminosos que começou a ser montada pelo menos desde janeiro...

Pela operação, a Mozilla julgará as cinqüenta melhores formas de colar adesivos com o logo do navegador com cerca de 1 metro de diâmetro em lugares estratégicos de alto movimento que possam ajudar na divulgação do software.

Segundo as regras do torneio, usuários no Canadá, Estados Unidos, China, Japão e Nova Zelândia precisam elaborar planos para o posicionamento do adesivo gigante seguindo quatro categorias definida pela Mozilla que, segundo a organização, seguem preceitos do browser - performance, customização, comunidade e segurança.

A Mozilla elegerá os 50 projetos com maior potencial para divulgação do Firefox em 19 de novembro, permitindo que os ganhadores executem seus planos. A Mozilla, no entanto, não se responsabiliza pela segurança ou pelos custos dos projetos.

Quatro projetos serão escolhidos como os melhores pela Mozilla e ganharão de prêmio um notebook MacBook Pro, da Apple, e três consoles Wii, da Nintendo.

Não é a primeira vez que a Mozilla se apóia em sua comunidade para driblar a baixa receita de publicidade e divulgar seu navegador.

Quando o Firefox 1.0 foi lançado, o grupo arrecadou 100 mil dólares entre seus usuários e estampou um anúncio de duas páginas no jornal New York Times anunciando o lançamento e estampando os nomes de todos os contribuintes.

Michael Czeiszperger, gerente geral da Web Performance, resolveu usar seu tempo livre para comprovar uma afirmação da Apple, feita em junho, de que seu browser era o mais veloz do mercado. Usou seu tempo livre e algumas ferramentas para medir a velocidade de atualização de páginas nas versões para o sistema operacional Windows, dor browsers IE7, Safari e Firefox 2.

Cada navegador foi direcionado aos 16 sites mais visitados da rede, segundo o ranking do Alexa, no final de agosto. Após um período de dois dias, com múltiplos testes rodando ao mesmo tempo, foi feita uma média do tempo em que cada browser levava para carregar as páginas.

Em todas as situações, segundo Czeiszperger, a versão beta do Safari 3 para Windows foi a mais rápida em termos de carregamento de páginas.

Ao avaliar o tempo de atualização dos sites armazenados em cache e não carregados de um servidor local, entretanto, a diferença entre Safari e IE, e Safari e Firefox foram mínimas, segundo o comparativo.

Já o carregamento de uma página pela primeira vez, o Safari foi em média 1,1 segundo mais rápido do que o IE7 e 1,4 segundo mais veloz do que o Firefox. Em uma conexão típica de "alta velocidade", este aumento de performance costuma ser notado, afirma Czeiszperger.

As medições de Czeiszperger estão disponíveis na internet.

O Safari 3 para Windows deve deixar de ser beta na próxima sexta-feira (26/10), quando a Apple lança o browser como parte do novo sistema operacional Mac OS X Leopard. O Safari 3 pode ser baixado gratuitamente no site da Apple.

Foi identificada uma nova praga virtual capaz de dar muita dor de cabeça a quem tem muitos arquivos de música e vídeo no computador. Trata-se do Troj/MediaDel-A, um pequeno arquivo escrito em VisualBasic.

Segundo a empresa de segurança Sophos, uma vez instalada no computador, a ameaça apaga todos arquivos em MP3, WAV, AVI e MPG. Não satisfeita, ela exibe mensagens em inglês acusando sua vítima de pirataria:

“you should not steal our hard work. thanks for understanding why we did this. RIAA/MPAA.”


Resumindo, ela diz que a pessoa não deveria roubar o trabalho dos outros. E assina como sendo enviado pela Associação da Indústria Fonográfica (RIAA, em inglês). Logicamente, mesmo que tivesse disparado essa praga virtual, a RIAA não iria assinar a mensagem, concorda? A ameaça se dissemina por e-mail ou em downloads.

Os profissionais de segurança da informação querem ser envolvidos nos projetos de negócios no momento em que eles são concebidos. Eles reclamam que em muitos casos são chamados para propor soluções de proteção às vésperas do lançamento de um serviço ou entrada em produção de uma nova aplicação.

Esse foi um dos temas abordados durante o “You Shot The Sheriff”, encontro que aconteceu nesta quarta-feira, 24/10, em São Paulo, com cerca de 50 profissionais do setor. Realizado em um bar para que todos se sentissem mais descontraídos, o evento reuniu CSOs (Chief Security Officers) e especialistas da área técnica de segurança da informação.

“As áreas de negócios têm de pensar nos conceitos de segurança desde o início dos projetos”, diz o consultor Eduardo Neves, atua no mercado há 13 anos e é CSO da Philip Morris. Ele foi um dos palestrantes e abordou o tema “Sobrevivendo no mercado: as carreiras em segurança da informação”.

Neves afirma que há situações em que o time de segurança é chamado faltando uma semana para o lançamento de projetos de negócios, o que é um risco enorme. Quando acontecem falhas, a culpa recai sobre os CSOs.

Embora, haja um discurso no mercado que pregue que esses profissionais têm de atuar alinhados com os negócio da companhia, o executivo diz que a teoria na prática é diferente, pois nem sempre as duas áreas trabalham juntas.

Para Neves, um dos motivos para esse descompasso é que muitas empresas ainda não definiram quem é o profissional de segurança da informação. Uma demonstração disso, segundo ele é a exigência dos departamentos de seleção quando buscam esses talentos. “Tem companhias que pede a certificação CISSP (Certified Information System Security Professional) para contratação de analista de segurança.

Como muitas companhias ainda não sabem qual é o perfil desses especialistas, Neves sugere que os próprios profissionais adotem estratégia mais agressiva para mostrar suas competências no mercado de trabalho. Ele recomenda que eles procurem mostra como eles podem ser úteis para os negócios da empresa. Para isso, eles devem investir na sua carreira, procurando se aprimorar e tentar entender como funciona a operação da corporação em que trabalham.

Gestor x técnico

A necessidade de os profissionais de segurança da informação terem de entender dos negócios não significa que todos tenham obrigatoriamente que se tornar gestores. “Alguns começaram como técnicos e depois foram para área gestão. Mas nem todos têm talento para isso”, diz o consultor. Portanto, ele afirma que os técnicos podem sim fazer carreira bem-sucedida e vice-versa, desde que cada um saiba claramente quais são suas aptidões.

Durante o encontro, os especialistas debateram ainda temas como tendências de ameaças internas, segurança em Linux e proteção para dispositivos móveis. O evento foi promovido pelo YSTS.org, serviço de podcast que aborda a segurança da informação.