Notícias

O número de incidentes de segurança verificados na internet brasileira atingiu 197 mil durante 2006, quase três vezes mais que as cerca de 68 mil registrados em 2005.

Segundo balanço divulgado nesta terça-feira (16/01) pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), os worms puxaram o aumento das pragas gerais, atingindo 109.676 notificações, crescimento de 532% em comparação ao ano anterior.

O gigantesco crescimento referente a 2006 reverte a tendência de queda demonstrada nos dois anos anteriores - a comparação entre 2004 e 2005 indica que o número de incidentes caiu 11%, segundo os dados do Cert.Br.

Com menos índice de crescimento, as tentativas de fraudes onlines saltaram para 41.776 notificações durante o ano, acréscimo de 53% em comparação às 27.292 computadas em 2005.

Mesmo assim, o Cert.Br esclarece que tentativas de roubos online cresceram 52% em comparação com o terceiro trimestre do ano passado.

Klaus Steding-Jessen, analista do CERT.br, chama atenção para os aumentos nas invasões de sites que usem o protoclo PHP, assim como a serviços Virtual Network Computing (VNC), que atingiu o ápice de ataques maliciosos no último trimestre.

Já ataques contra serviços de Secure Shell mantêm posição de destaque no ranking da Cert.Br, liderando tentativas de invasões na internet brasileira durante os três primeiros trimestres de 2006.

Vale lembrar que os balanços trimestrais do Cert.Br levam em conta notificações feitas por usuários selecionados e provedores de ataques e infecções de malwares na internet brasileira, o que torna limitada a amostra da pesquisa.

Fetichistas de tecnologia não são somente os integrantes do grupo de pessoas que já estão se coçando para colocar as mãos em um iPhone. Os hackers também querem muito brincar com o novo equipamento da Apple.

Horas após o anúncio oficial, o iPhone já era um assunto de destaque na lista de discussão Dailydave, um fórum mundial sobre pesquisa e segurança. O debate está centrado no processador que a Apple pode ter escolhido para potencializar o aparelho e que tipo de linguagem poderá rodar nesse chip. “Será que essa ‘gracinha’ vai rodar um ARM?”, escreveu o engenheiro Havlar Flake, que completou: “Eu tenho dúvidas sobre um equipamento móvel baseado em x86. Então alguém tem detalhes sobre que tipo de instruções devem ser escritas?”.

Em uma entrevista por e-mail, um dos hackers que participa do projeto Mês de Bugs da Apple – que está revelando uma vulnerabilidade de segurança por dia do mês de janeiro – diz que ele “amaria fazer uma bagunça com o iPhone”.

“Se o aparelho realmente vai rodar o OS X, [o iPhone] trará consigo certas implicações de segurança, como o mal uso das facilidades da conectividade sem fio, e a distribuição de malware em larga escala”, afirma o hacker conhecido como LMH, que se recusa a revelar seu nome real.

Porque o iPhone poderia incluir uma grande variedade de iniciativas de computação avançada, como o protocolo de descobrimento Bonjour, poderia também oferecer muitas possibilidades de ataque, de acordo com LMH. “As possibilidades de um vírus para smartphones são preocupantes”, escreveu. “Imagine o Bonjour e toda a confusão que o OS X tem concentradas em um equipamento portátil que conta com conectividade wireless.”

Mas o hacker reconhece: “Tudo isso ainda é especulação e permanecerá assim até que a especificação técnica seja divulgada pela Apple”.

David Maynor é outro pesquisador de segurança interessado no iPhone. Um videotape produzido por ele recebeu atenção internacional durante uma conferência realizada nos EUA por apresentar demonstrações do MacBook sendo hackeado por meio de uma rede sem fio.

Embora tenha sido criticado pela forma como apresentou o estudo, Mayor e um colega demonstraram essas falhas usando um cartão sem fio de outro fornecedor que funciona com o MacBook e ainda não publicaram o código que usaram.

“Eu mal posso esperar para ter um”, diz Mayor, que é CTO (do inglês, chefe de tecnologia) da Errata Security. “Já existe muita discussão em andamento e elas não desaparecerão nem mesmo nos próximos seis meses. As pessoas já estão salivando”, afirma.

A Microsoft precisará se esforçar mais para convencer as escolas do Reino Unido a adotarem o Windows Vista e o Office 2007, já que nenhum dos dois tem características novas essenciais, segundo um relatório de um grupo consultivo educacional britânico.

O documento, divulgado na quarta-feira (10/01) pela Associação Britânica de Educação, Comunicações e Tecnologia (Becta, na sigla em inglês), contém palavras fortes de preocupação quanto aos novos produtos da Microsoft, os dois previstos para chegar ao mercado no fim deste mês.

A associação também ataca o que a Microsoft diz serem os mais importantes melhoramentos no software, como a questão da segurança. Segundo o documento, a versão mais estável do Windows XP foi lançada quase três anos após a chegada da primeira, e a adoção prematura do Vista seria uma medida de “alto risco”.

“Parece razoável, então, não adotar o Vista até que tenha um histórico de estabilidade e segurança”, diz a declaração.

O documento será usado por 25 mil escolas no Reino Unido, que utilizam cerca de 2 milhões de computadores, a maioria equipada com software da Microsoft. Nem a Microsoft nem o Becta disseram a magnitude da receita gerada pelas escolas para a empresa em taxas de licenciamento anuais.

“Precisamos ver um caso de negócios persuasivo para o nível de investimento exigido na adoção dos produtos”, disse Tom McMullan, um consultor do Becta. “O que estamos dizendo no curto prazo é que esse caso ainda não existe”.

Um relatório final será publicado em janeiro de 2008 após conversas com a Microsfot e com seus concorrentes, disse McMullan.

O relatório explora profundamente as características do Vista e do Office 2007. Segundo o documento, 27% das inovações podem ser adotadas sem a necessidade de mudança do XP, como o novo navegador Internet Explorer 7 e o Windows Media Player, ambos disponíveis para download gratuito para o XP.

Das 176 novidades encontradas no Office 2007, nenhuma era necessária para instituições educacionais, e a maioria era voltada para negócios, disse o estudo.

O relatório oi publicado no momento em que milhares de educadores se reúnem em Londres, nesta semana, para a conferência British Education and Training Technology.

Steve Beswick, diretor de educação da Microsoft no Reino Unido, disse que tanto o Vista quanto o Office estão recebendo um retorno positivo de professores e alunos no evento.

Quanto ao relatório, “Claramente, nós gostaríamos de pensar que poderia ter sido melhor”, disse ele. “Nós estamos muito seguros de que uma vez que os consumidores virem a tecnologia e a avaliarem corretamente, haverá aprimoramentos”.

No longo prazo, as escolar migrarão, inevitavelmente, para o Vista e o Office 2007, disse o consultor do Becta McMullan. Enquanto isso, o relatório pede por melhoras, particularmente na área da compatibilidade.

A Microsfot deve incorporar uma compatibilidade nativa para o formato OpenDocument (ODF) no Office 2007 na metade do ano, disse o relatório. O ODFé usado para competir com o StarOffice ou o OpenOffice.org, por exemplo.

A Microsoft está apoiando um projeto para construir um plug-in que traduzirá OpenXML - o formato padrão de arquivo do Office 2007 - em ODF, mas o produto ainda não foi lançado. As escolas não deveriam adotar o Office 2007 até que ele seja capaz de operar em conjunto com produtos como o OpenOffice.org, diz o relatório.

“Usar o formato padrão de arquivo do Office 2007, da Microsoft, então, intensificar problemas de ‘divisão digital’”, diz o documento.

Com o tempo, o relatório continua, um programa de produtividade on-line do Google poderá se tornar um grande competidor do Office, mas por enquanto ainda há muitos problemas de segurança e usabilidade em suítes on-line.

Será que mata gastar 30 segundos a mais para ter certeza de que consertou a máquina que você acabou de ser chamado para arrumar? Isso é o que muitos usuários de tecnologia de diversas empresas querem saber. “Me irrita quanto o gerente de TI ‘arruma’ alguma coisa no meu computador e depois diz: ‘Deve funcionar agora’ e sai”, afirma um usuário que tem a mesma opinião de diversos outras pessoas entrevistadas, mas que temem revelar o nome de suas empresas porque acreditam que seus colegas profissionais de TI leiam a publicação.

Sair andando, entretanto, não é o que mais incomoda. “Quando [nossos gerentes de TI] perguntam se me diverti numa festa particular no final de semana, obviamente ele revela que leu meus e-mail, já que eu nunca mencionei festa nenhuma a ele”, afirma.

O relacionamento entre os gerentes de rede e os usuários é freqüentemente de amor e ódio. Os usuários revelam um senso de respeito e confiança na equipe de TI, mas isso pode rapidamente se transformar em frustrações. Ao invés de a tecnologia se tornar o objetivo final, a maioria dos usuários ainda são confundidos por seus PCs e as pessoas que os gerenciam.

Porque a maioria dos usuários não entendem como os PCs funcionam, eles também não compreendem quando isso não funciona e geralmente a culpa pelas quedas sobra para o último que tocou no sistema.

“O que intriga no meu gerente de TI é que quando ele faz uma mudança no computador ele sempre deixa coisas por fazer – atalhos de teclado faltando, programas que eu uso desinstalados ou senhas que passam a não ser aceitas”, diz uma mulher que trabalha numa estação de rádio de Washington DC. “E isso sempre parece acontecer durante a noite ou nos finais de semana, então quando eu chego de manhã não consigo acessar as coisas que preciso. Isso me deixa doida!”, protesta.

Brian, diretor de uma associação industrial, conta que o que o irrita no departamento de TI é a armazenagem de e-mails. Os funcionários têm 25MB de capacidade de armazenamento para mensagens, mas é muito pouco porque ele recebe mais de 100 e-mails por dia, muitos com arquivos.

“Eu não penso que o espaço de e-mail deveria ser ilimitado e entendo que o tamanho precisa ser monitorado, mais isso não parece ajustado”, protesta. Quando questionado para nomear a requisição mais comum, brinca: “Eles querem que eu sincronize com o meu handheld, o que parece um pouco inapropriado.”

Jargões

Outro ponto que incomoda são os jargões. Os termos técnicos e as siglas que os profissionais de TI usam criam um ar de mistério e superioridade para quem não os conhece. “Enquanto eles fazem você se sentir estúpido, eles também encobrem soluções de modo misterioso, que eu acredito ser um trabalho de proteção ou justificativa de estratégia”, afirma Lisa, parceira de uma empresa de serviços financeiros da área de Boston (EUA).

Um executivo de TI aponta que a indústria de tecnologia deveria usar termos mais básicos. “Olhe para a palavra ‘usuário’, que nós usamos para descrever pessoas. Isso traz conotações que não são positivas”, acredita Frank Gillman, diretor de tecnologia de uma companhia de advocacia em Los Angeles (EUA).

(Nota do editor: Sim, nós também somos responsáveis por isso).

Também vale dizer que a maioria dos usuários não querem entender esses termos. “Mas nós temos que manter isso simples”, acrescenta Heather Clarke-Peckerman, presidente da HCP Conseulting Group, guia de carreira no estado de Nova York (EUA). “Os usuários não querem aprender como a tecnologia funciona, mas querem saber o que tem que fazer.”

A executiva recomenda que os profissionais de TI lembrem de como aprenderam sobre tecnologia e tentem usar esses termos para explicar e descrever as situações. Outra sugestão é usar analogias, como comparar um computador a um automóvel, que geralmente funciona.

Anote a lista de cinco dicas para se comunicar melhor com os usuários – e as releia sempre que partir para atender alguém com problemas relacionados à tecnologia.

1. Mantenha a simplicidade. Você não precisa descrever as sete leis de armagenagem cada vez que responder a um chamado de helpdesk

2. Ajude os usuários a entender como eles mesmos podem se ajudar dando informações suficientes pra que ele resolva a situação sozinhos e que o chamado não aconteça novamente

3. Use analogias simples para ilustrar as questões

4. Evite abreviações e siglas complexas e jargões confusos

5. Preste atenção naquela sua aparência de vidro – isso certamente é um sinal de que você perdeu a atenção da audiência.

A Sophos divulgou nesta quarta-feira (11/1) um alerta sobre uma mensagem fraudulenta que diz ter sido enviada por um assassino profissional contratado para matar o recipiente.

O “assassino” afirma ter recebido 50 mil dólares para cometer o crime, mas, após observar o alvo (o internauta) durante 10 dias, constatou que ele é inocente das acusações feitas por quem contratou o serviço. Para que a vítima saiba quem planejou seu assassinato, o criminoso pede um pagamento inicial de 20 mil dólares para que ele possa providenciar provas em vídeo do esquema.

Mensagens como essa são definidas pelo termo scam (fraude). Entre os scams mais comuns está o “nigeriano”, onde o criminoso diz que possui uma quantia em dinheiro alta trancada em algum banco e que necessita de ajuda para liberar os fundos. Caso o internauta envie o dinheiro necessário para a liberação ao criminoso, este retorna dizendo novos pagamentos são necessários, seja para pagar propina a oficiais do governo ou qualquer outro motivo inventado pelo “scammer”.

O golpe descoberto pela Sophos é parecido, mas ao invés de utilizar a ganância, usa o medo e a incerteza. O e-mail falso afirma que o internauta “não deve encaminhar a mensagem ao FBI, porque [o assassino] irá saber” e isso irá forçá-lo “a fazer o que ele foi pago para fazer”. A mensagem afirma que, após o pagamento inicial de 20 mil, outro pagamento de 80 mil será necessário para que o assassino produza provas em vídeo da contratação do serviço.

Todas as ameaças feitas no e-mail são falsas. De acordo com o FBI, e-mails semelhantes circularam também na metade de 2006. Caso um e-mail com ameaças contenha seus dados pessoais (como nome completo e endereço), o FBI aconselha que a polícia seja contactada.

A Sophos informa que o criminoso busca conseguir, além do dinheiro, dados pessoais da vítima, que podem ser usados para roubo de identidade. A Sophos recomenda que internautas não respondam mensagens desse tipo, pois é o retorno recebido pelos golpistas que os incentiva a criar novos e-mails para enganar os usuários da web.

Em outubro de 2005, scammers nigerianos “ganharam” o Prêmio IgNobel de Literatura pela criatividade envolvida na criação dos diversos enredos e tramas utilizados em suas mensagens fraudulentas.

A professora Julie Amero, de Windham, Connecticut, Estados Unidos, dava aula para um grupo de dez crianças com entre 12 e 13 anos de idade, quando o computador da sala de aula começou a mostrar imagens de sites pornográficos. O fato ocorreu em outubro de 2004 e desde então ela esperava o julgamento. Agora, foi considerada culpada e pode pegar até 40 anos de prisão.

De acordo com o site The Register, testemunhas de defesa alegaram que as imagens pop-up de casais fazendo sexo eram resultado de um spyware (programa-espião) instalado na máquina da ré, que atuava como professora substituta de inglês. No entanto, o júri, composto por seis pessoas, rejeitou o argumento e, após deliberação de duas horas, declarou-a culpada em quatro acusações de risco de danos aos menores.

Entre as imagens mostradas no computador da sala da escola Kelly Middle estavam imagens de sites como meetlovers.com e femalesexual.com, entre outros. Para a acusação, tais imagens só apareceram porque a professora visitava ativamente estes sites. Julie Amero declarou que não conseguiu controlar os pop-ups. Os pop-ups nunca paravam. Eram contínuos. O promotor de acusação David Smith questionou por que ela simplesmente não puxou o PC da tomada.

Mas, o especialista em computadores W. Herbert Horner diz que foi encontrado no computador investigado um spyware, ligado a um aparentemente inocente site de penteados. Para piorar a situação, o programa de defesa da escola, que poderia ter bloqueado estas imagens, estava com sua licença expirada.

Após ouvir o testemunho dos estudantes e de um especialista da polícia, o júri rejeitou a declaração de pânico da professora. Para Mark Lounsbury, investigador de crimes em computador, os sites foram acessados por Amero e requeriam interação do usuário. David Smith concluiu: Você precisa fisicamente clicar nisto para entrar nesses sites. Eu acho que a prova é decisiva de que ela tinha intenção de acessar esses websites.

Os advogados da professora pediram anulação do julgamento, alegando que o júri começou a discutir o caso em um almoço num bar. Os jurados negaram as acusações e tiveram seu veredito levado em conta.

John Cocheo, advogado de defesa de Julie Amero, diz que pretende apelar da decisão. A sentença do caso deve ser dada em nova audiência no dia 2 de março de 2007. A família da ré, presente ao julgamento, se recusou a comentar o veredito, conforme noticiou o site Norwich Bulletin.

A empresa de segurança RSA anunciou nesta quarta-feira (10/1) a descoberta de um kit que facilita a criação de sites falsos para roubar dados de internautas desatentos. De acordo com a RSA, o kit, que está sendo vendido na web, possibilita a criação instantânea de um endereço falso que funciona como uma ponte entre o internauta e o site verdadeiro. Para o usuário, o site falso será igual ao verdadeiro, porém toda a informação enviada será roubada pelo criminososo responsável pelo site.

Golpes que utilizam sites falsos parecidos com os originais são chamados de Phishing. A vítima sempre chega ao site falso seguindo um link presente em uma mensagem de e-mail enviada pelo criminoso. O conteúdo da mensagem geralmente afirma que o usuário precisa atualizar seus dados ou que a conta corre algum risco de ser fechada caso os dados não sejam confirmados clicando-se no link. Serviços como PayPal, eBay e Orkut são alvos comuns de ataques desse gênero.

A RSA diz que analisou uma versão “demo” de testes do kit, que se chama Universal Man-in-the-Middle Phishing Kit [Kit de Phishing Homem no Meio Universal]. Homem no Meio é um termo geral para ataques onde o criminoso fica no meio de uma conexão entre dois computadores que acreditam estar conectados diretamente com o outro. O kit é universal porque pode criar páginas falsas para quase qualquer site.

Para identificar sites falsos, alguns internautas tentam digitar dados de login incorretos, pois uma página falsa não consegue saber se aquela informação é legítima. Se o site aceitar a informação inválida, significa que ele é falso. Porém, páginas falsas criadas com o kit encontrado pela RSA verificam no site verdadeiro se os dados são válidos ou não, servindo como uma ponte. Como resultado, o site falso é exatamente igual ao verdadeiro, reproduzindo inclusive as páginas de erro de autenticação.

De acordo com a RSA, ataques de phishing que utilizam a técnica de homem no meio ainda são raros, mas devem se tornar comuns ainda este ano.

Um estudante e um aluno recém-formado de uma escola de segundo grau de Cherry Hill, em Nova Jersey, Estados Unidos, foram acusados de invadir o sistema escolar para mudar a nota de colegas.

Apesar de corriqueiro, o caso chama a atenção pela dureza da possível pena punitiva imposta. Segundo o site SC Magazine, Jonathan To, de 18 anos, e um colega de 17 anos não identificado por ser menor de idade, foram acusados de roubar a senha de acesso à rede da escola. Caso Jonathan seja condenado, pode pegar até dez anos de prisão, enquanto o menor pode ser mantido em um centro de detenção juvenil até completar 21 anos.

A polícia descobriu a ação dos jovens após uma auditoria feita em setembro de 2006, quando um funcionário encontrou discrepâncias entre as notas no sistema e as escritas em papéis. Michael Nuzzo, diretor de segurança, diz que os dois suspeitos não invadiram o servidor, mas sim utilizaram senhas roubadas.

Uma porta-voz da região, Susan Bastnagel, declarou que não sabia que os suspeitos tinham posse de tais recursos, mas disse que recomendaria aos funcionários que protegessem melhor suas senhas. Não tenho certeza se alguém deixou o computador logado ou se a senha estava escrita em sua mesa, mas era apenas alguém que não estava sendo cuidadoso, afirmou, completando que acredita que os administradores da rede escolar já tenham resolvido o problema mudando a senha de todos os usuários.

As notas originais dos cinco estudantes, referentes aos períodos letivos de 2005 e 2006, já foram restauradas após a ocorrência, mas o superintendente David Campbell declarou que quer enviar uma mensagem clara a todos de que este tipo de tramóia não será tolerado.

Para o site The Register, a vida imita a arte e o fato lembra, mesmo que em proporções menores, o filme War Games, de 1983. Nele, David Lightman, interpretado por Matthew Broderick, invade a rede escolar para mudar sua baixa nota de biologia, mas acaba preso pelo FBI por acidentalmente acessar uma rede secreta que controla o arsenal nuclear dos Estados Unidos.

Há um mês, o presidente de uma classe de segundo grau na Flórida foi preso e acusado por usar uma senha e mudar as notas de 19 colegas.

Uma campanha de um mês conduzida por dois pesquisadores independentes de segurança para revelar falhas de segurança em produtos da Apple até agora resultou em apenas 10 vulnerabilidades publicamente divulgadas - e diversas outras prestes a serem anunciadas.

Informações sobre exploração das falhas também foram divulgadas junto a detalhes dos códigos para comprometer o sistema, em muitos casos por ataques remotos.

As descobertas são parte do Mês de Bugs da Apple (do inglês, MoAB), lançado em 1º de janeiro pelos pesquisadores de segurança Kevin Finisterre e LMH.

O objetivo da empreitada, idêntica às campanhas Mês dos Bugs em Kernels e Mês dos Bugs em Browser em 2006, é aumentar a consciência sobre questões de segurança em produtos da Apple, de acordo com Finisterre.

(A empresa) cria comerciais alegando segurança e o usuário acha que está vestindo uma armadura, afirma Finisterre por e-mail. Na realidade, não existe falta de bugs no Mac OS X tanto do ponto de vista da plataforma como da aplicação.

Finisterre disse que enquanto apenas 10 falhas foram publicadas até agora, ele já perder a conta do número de brecha que foram descobertas como parte do MoAB. Descobrir uma abundância de bugs não foi um problema mesmo, mas nem todas são facilmente exploráveis.

De acordo com ele, diversas brechas derivam da inadequada documentação da Apple para várias Interfaces para Programação de Aplicações (do inglês, API) relacionadas a funções comumente usadas para reproduzir mensagens de erro. Diversos desenvolvedores estão usando mal as funções e isto está levando para situações de potencial risco, escreveu.

Dave Marcus, pesquisador de segurança e diretor de comunicações da McAfee Avert Labs, disse que o esforço para encontrar bugs da Apple parece estar aumentando preocupações com questões de segurança na plataforma.

Até agora, no entanto, nenhuma das brechas divulgadas teve tanto impacto no mercado, disse Marcus.

Na verdade, as únicas falhas dignas de atenção são uma afetando o Quicktime que permite execução de código arbitrário e uma brecha no Adobe que afeta diversos ambientes operacionais, incluindo o Mac OS X, disse ele. Ambas são interessantes por que afetam produtos amplamente usados, afirma.

A decisão de Finisterre e de LMH é revelar publicamente falhas antes de dar à Apple a chance de corrigi-las aumentou o risco para usuários, afirmou ele. Mas os esforços de um ex-engenheiro da Apple chamado Landon Fuller para corrigir as questões descobertas está mitigando alguns dos riscos, acrescentou.

Fuller não respondeu imediatamente aos pedidos para comentar a história, mas suas correções para as falhas estão sendo publicadas em seu site.

A própria Apple não divulgou qualquer correção para as vulnerabilidades e não discute como responderia ao movimento. Em um anúncio por e-mail, uma porta-voz da companhia disse que a Apple tem um ótimo histórico de divulgar correções para potenciais brechas de segurança antes de afetarem os usuários, não elaborou o argumento.

O anúncio também afirmou que a Apple classifica como bem-vindas sugestões para melhorar a segurança da plataforma Mac.

Esforços como o Mês de Bugs da Apple podem ser úteis para aumentar a consciência do usuário sobre problemas de segurança em plataformas como Mac OS X, disse Charles King, analista da consultoria Pund-IT.

A Apple historicamente teve menos problemas com brechas de segurança do que a plataforma Wintel, com a contestação de alguns experts de segurança, que alegam que a base da Apple é menor, afirmou King.

Um esforço concentrado para encontrar falhas em seus softwares pode forçar a Apple a prestar mais atenção à segurança - assim como a própria Microsoft teve que fazê-lo, afirmou.

Ao mesmo tempo, cuidados precisam ser tomados para que tais iniciativas não acabem expondo desnecessariamente usuários a riscos, disse King. Existe uma linha fina entre o serviço público e a publicidade descarada.