[Redes] Contador de Esgotamento do IPv4

A empresa IntecNetCore, Inc. disponibiliza um widget interessante chamado "IPv4 Exhaustion Counter" ("Contador de Esgotamento do IPv4") que mostra o status da exaustão do IPv4, ou seja, quanto tempo ainda falta para que todos os endereços de rede IPv4 sejam utilizados até o esgotamento completo dos endereços globais fornecidos pela IANA. Quando isto acontecer, ninguém mais poderá alocar um endereço IP público e a Internet terá alcançado o número máximo possível de endereços IP.

[Segurança] Mais de 90! Profissionais de Segurança no Twitter

(Se você quiser indicar esta lista, pode usar esse link curto: http://tinyurl.com/TwitterSeg)

Recentemente o Sandro Süffert publicou em seu excelente blog uma caprichada relação de 52 blogs sobre segurança em português, e nesta semana o Sp0oKeR também criou uma lista de "Brasileiros/Segurança no twitter".

Por uma enorme coincidência, há várias semanas eu estava juntando uma lista similar, dos profissionais em Segurança da Informação que possuem perfis no microblogger Twitter, então resolvi publicá-la (inclui alguns colegas que atuam em direito eletrônico, auditoria ou sistemas). Esta não é uma tentativa de substituir a lista do Sp0oKeR, mas sim complementá-la e, principalmente, prestar uma homenagem aos amigos e colegas que eu acompanho quase diariamente no Twitter.

Sem querer desmerecer ninguém, eu resolvi colocar um pequeno destaque nos colegas tuiteros que são mais frequentes, que são mais ativos no microblog. Eu evitei colocar nesta relação colegas que não tivessem alguma mensagem, no momento que eu consultei. Ao final, também coloquei uma pequena relação de algumas das principais entidades (empresas, eventos, grupos) nacionais que também estão no universo do Twitter.

Se você não foi listado, ou não queria ser listado (afinal, tem gente que prefere permanecer anônimo) me perdoe. Basta me avisar (via comentário ou twitter) que eu atualizo o site. Não foi fácil compilar esta lista (e eu não conferi com a publicada pelo Sp0oKeR - esta relação foi baseada nos meus principais "followers" no Twitter).

Profissionais da área de Segurança da Informação

1. Adriano Cansian: @adrianocansian
2. Alan: @djalancs
3. Alexandre Vargas: @alexvrn
4. Altieres Rohr: @altieres
5. Anchises M. G de Paula (eu, só para constar): @anchisesbr
6. Anderson Ramos: @aramosorg
7. Andre Felipe: @afelipealves
8. Andre Pitkowski: @andrepit
9. Arthur Scarpato: @ascarpato
10. Augusto Paes de Barros: @apbarros
11. Bruno G. de Oliveira: @mphx2
12. Bruno Zani: @brunozani
13. Carlos E. Santiviago: @segfault
14. Carol Bozza: @carolbozza
15. Cleber Brandao: @clebeer
16. Coriolano Camargo: @CoriolanoAC
17. Derneval Cunha: @curupira
18. Dimitri Abreu: @dimitriabreu
19. Edu Godinho: @egodinho
20. Eduardo V. C. Neves: @evcneves
21. Emerson Wendt: @emersonwendt
22. Erasmo Guimarães: @erasmoguimaraes
23. Fabiano Paixão: @fabianopaixao
24. Fabio Assolini: @assolini
25. Fábio Juliano Dapper: @fjdapper
26. Fabio Sales: @fsales
27. Fernando Amatte: @famatte
28. Fernando Carbone: @flcarbone
29. Fernando Fonseca: @fernandofonseca
30. Filipe Balestra: @filipebalestra
31. Fioravanti Cavallari: @fiocavallari
32. Francisco Milagres: @fmilagres
33. Gabriel Hayduk: @_hayduk
34. Gisele Truzzi : @giseletruzzi
35. Guilherme: @marinheiroc
36. Hélio Cordeiro: @heliocordeiro
37. Igor de Oliveira Sá: @igordeoliveira
38. Ivan Carlos: @IvanCarlos
39. Jayme Orts y Lugo: @ortsylugo
40. Jeronimo Zucco: @jczucco
41. Joaquim Espinhara: @jespinhara
42. Jordan Bonagura: @jbonagura
43. José Antonio Milagre: @periciadigital
44. Julio Cesar Fort: @juliocesarfort
45. Leonardo Cavallari: @leocm
46. Leonardo Goldin: @goldim
47. Lucas Donato: @lucasdonato
48. Lucas Marques: @Lucasg3
49. Luciano Barreto: @LuckyBarr
50. Lucimara Desiderá: @ldesidera
51. Luiz Eduardo (LE): @elduardo
52. Luiz Zanardo: @lzanardo
53. Marcelo Caiado: @mbcaiado
54. Marcelo Carvalho: @MarCarvalho
55. Marco Botelho: @botelho
56. Marcos Cabral: @maraurcab
57. Maria Tereza Aarão (a Teca!): @mtaarao
58. Marlon Borba: @mborba
59. Marlon Dias: @marlon_net
60. Michel Pereira: @michelpereira
61. Nelson Biagio Junior: @Nelsonb
62. Nelson Brito: @nbrito
63. Nelson Murilo: @nelsonmurilo
64. Nelson Novaes: @nnovaes
65. Omar Kaminski: @internetlegal
66. Paolo Oliveira: @paoloo
67. Paulo Renato: @PRenato
68. Paulo Teixeira: @paulort
69. Paulo Vianna: @pvianna
70. Pedro César: @tecdom
71. Pedro Bueno: @besecure
72. Peixinho: @ivocarv
73. Raphael Cerdeira: @RaphaelCerdeira
74. Reginaldo Rizato: @rarizato
75. Renato Opice Blum: @Opiceblum
76. Ricardo Castro: @profrcastro
77. Ricardo Giorgi: @ricseclx
78. Rodrigo Branco: @bsdaemon
79. Rodrigo Jorge: @rodrigojorge
80. Rogerio Kaza: @rckasa
81. Rodrigo Montoro(Sp0oKeR): @spookerlabs
82. Ronaldo Vasconcelos: @ronaldotcom
83. Sandro Süffert: @suffert
84. Sergio Dias: @stdiasp
85. Thiago Bordini: @tbordini
86. Thiago Nascimento: @palmitu
87. Thiago Prado: @tdprado
88. Thiago Zaninotti: @zaninotti
89. Uelinton Santos: @uelintons
90. Vanessa Padua: @vpadua
91. Victor Bonomi: @victorbonomi
92. Vinícius K-Max: @viniciuskmax
93. Vladimir Amarante: @vamarante
94. Wagner Elias: @welias
95. Weber Ress: @WeberRess
96. Welkson Renny: @welkson
97. Willian Caprino: @wcaprino

Entidades ou publicações (ezines) na área

1. ARIS/Linha Defensiva: @linhadefensiva
2. BR Connection: @BRconnection
3. CAIS: @cais_rnp
4. CNASI: @CNASI
5. Conviso: @conviso
6. Dynsec Labs: @dynsec
7. Firebits (Backtrack Brasil): @backtrackbrasil
8. G1 Segurança: @g1seguranca
9. H2HC conference: @h2hconference


10. HackerSPace: @hackerspaceSP
11. IDETI: @IDETI
12. ISSA Brasil: @issabrasil
13. IT Security Brazil: @securitybr
14. ITversa Security: @itversa
15. MalwarePatrol: @MalwarePatrol
16. NStalker: @nstalker
17. Teknobank: @teknobank
18. The Bug! Magazine: @thebugzine
19. YSTS: @ystscon

O Twitter é um serviço viciante, cujo uso tem crescido exponencialmente e que está adquirindo uma grande importância para as pessoas que permanecem grande parte do tempo conectadas. Se a intenção inicial do site era apenas que as pessoas dissessem o que estão fazendo, hoje em dia os principais usuários o utilizam para indicar as principais novidades e acontecimentos do momento. É uma ferramenta muito prática e simples para se manter atualizado com os principais acontecimentos.

OBS: Mega-atualização da lista em 30/01, pois percebi que tinha esquecido muita gente (e muita gente boa mesmo!!! #megafail). Pulou de 72 para 95.

[Segurança] Atualizado: Palestras sobre segurança da informação na Campus Party

(Você quer indicar este post? Use essa URL: http://tinyurl.com/cparty-seg)

Ontem eu coloquei um post sobre a Campus Party e as palestras de segurança da informação que estão acontecendo no evento. Para atualizar a informação das palestras, incluindo algumas que estão acontecendo na área de exposições, preferi criar um post a parte, assim fica mais fácil visualizar.

Além destas, diversas outras palestras vão acontecer nos próximos dias:

• Quinta-feira (28/01)
  
  • 4pm – 5pm, Palestra do CERT.br sobre "Cenario das Fraudes e do SPAM no Brasil", no palco Software Livre
    
  • 5pm – 6pm, Palestra sobre "Ataques a hardware criptografico e HSMs", no stand do MCT (área Expo)
    
  • 6pm – 6:30pm, Palestra do CERT.br sobre "SPAM: Cenario atual e ações para resolução do problema", no stand do CGI.BR (área Expo)
    
  • 8pm – 10pm, Palestra "Segurança & Ruby on Rails: O que você deve fazer, e o que o Rails pode fazer por você" (no palco de Desenvolvimento)
    
• Sexta-feira (29/01)
  
  • 9am – 10pm, Palestra "Personal Branding na era digital", com o Fernando Fonseca
    
  • 11am – 12pm, Palestra "Segurança de Redes - Uma abordagem divertida", com Claudio Nunes
    
  • 5pm – 5:30pm, Palestra do CERT.br sobre "SPAM: Cenario atual e ações para resolução do problema", no stand do CGI.BR (área Expo)
    
  • 6pm – 7pm, Palestra "Segurança em redes sociais", comigo (Anchises M. G. de Paula), no espaço Bar Camp
    
  • 6pm – 7pm, Palestra "Desenvolvimento com segurança em PHP"
    
• No Sábado (30/01), teremos o seguinte:
  
  • 9am – 10am, Palestra "BrOffice.org e Certificação Digital" no palco de Desenvolvimento.
  
  
  • 3pm – 4pm, Palestra "Desenvolvimento e Segurança em Cloud Computing", com o Nelson Novaes Neto, no palco Software Livre
    
  • 8pm – 9pm, Palestra sobre o projeto "HackerSPace", o primeiro Hackerspace de São Paulo, no espaço Bar Camp
    

Para acompanhar o que está acontecendo na Campus Party neste ano, há o site oficial, o blog oficial, a Campus TV e, acima de tudo, o Twitter, onde os participantes estão usando a hashtag #cpartybr para publicar as novidades, além de opiniões, comentários e impressões do evento.

29/01: Adicionando o link para a TV ao vivo (ótimo recurso inclusive para quem está na Campus Party e não consegue ouvir a palestra por causa do barulho):

[Segurança] Palestras sobre segurança da informação na Campus Party

A Campus Party é considerada o maior evento de inovação tecnológica, Internet e entretenimento digital do mundo (segundo os organizadores). É um encontro anual realizado desde 1997 na Espanha, que já está na terceira edição no Brasil e teve sua primeira edição no México no ano passado. O evento reúne, durante uma semana, milhares de participantes que acampam com seus computadores com a finalidade de compartilhar conhecimento, trocar experiências e realizar todo o tipo de atividades relacionadas a Cyber Cultura em geral, incluindo o uso da Internet, das redes sociais, web 2.0 e as novas tecnologias em geral.

Durante uma semana a Campus Party transforma-se na casa agitada, colaborativa, multimídia e descontraída de 6000 participantes: estudantes, professores, cientistas, jornalistas, pesquisadores, artistas, empresários profissionais e curiosos.

A Campus Party Brasil começou no dia 25 de janeiro e vai até o próximo sábado, dia 30/01. Nesta edição, pela primeira vez foi criada um espaço para o tema Segurança da Informação, junto com Redes, Desenvolvimento e Software Livre. As atividades relacionadas a segurança começaram no dia 26, terça-feira, em grande estilo: com uma palestra do Kevin Mitnick, o "hacker" mais conhecido em todo o mundo, autor de alguns livros sobre segurança e que cometeu diversas atividades criminosas nos anos 80 e 90. Sua palestra abordou a engenharia social, um tema que ele domina como ninguém. Também tivemos uma palestra do Dario Caraponale, um profissinal com muitos anos na área, que falou sobre "Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica" - ele destacou a necessidade atual do mercado por profissionais que atuem em atividades de Pen Test e como o público poderia se preparar para se tornar um especialista nesta área.

Além destas, diversas outras palestras vão acontecer nos próximos dias:

• Quarta-feira (27/01), 10am - 11am, Palestra "Modos de operação do Snort - Previnindo ataques a sua rede", com o Clebeer Brandão
  
• quinta-feira (28/01), 9am – 10am, Palestra "Uso consciente de mídias sociais", com o Thiago Bordini
  
• quinta-feira (28/01), 4pm – 5pm, Palestra "Cenario das Fraudes e do SPAM no Brasil"
  
• quinta-feira (28/01), 8pm – 10pm, Palestra "Segurança & Ruby on Rails: O que você deve fazer, e o que o Rails pode fazer por você" (no palco sobre Desenvolvimento)
  
• Sexta-feira (29/01), 9am – 10pm, Palestra "Personal Branding na era digital", com o Fernando Fonseca
  
• Sexta-feira (29/01), 11am – 12pm, Palestra "Segurança de Redes - Uma abordagem divertida", com Claudio Nunes
  
• Sexta-feira (29/01), 6pm – 7pm, Palestra "Segurança em redes sociais", comigo (Anchises M. G. de Paula), no espaço Bar Camp
  
• Sexta-feira (29/01), 6pm – 7pm, Palestra "Desenvolvimento com segurança em PHP"
  
• No Sábado (30/01), 3pm – 4pm, Palestra "Desenvolvimento e Segurança em Cloud Computing", com o Nelson Novaes Neto
  
• No Sábado (30/01), 7pm – 8pm, Palestra sobre o projeto "HackerSPace" no espaço Bar Camp
  
• No Sábado (30/01), 9pm – 10pm, Palestra "BrOffice.org e Certificação Digital" no palco de Desenvolvimento.

Para saber novidades e notícias sobre o que está acontecendo na Campus Party neste ano, há o site oficial, o blog oficial, a Campus TV e, acima de tudo, o Twitter, onde os participantes estão usando a hashtag #cpartybr para publicar suas opiniões, comentários e impressões do evento.

[Cyber cultura] Tabela Periódica da Internet

Em meados de 2007, Wellington Grey criou a Tabela Periódica da Internet ("Periodic Table of the Internet"), uma forma muito interessante e descontraída de listas os principais sites da grande rede, utilizando um formato parecido com a boa e velha tabela periódica dos elementos, que todos nós vemos em nossas aulas de química.


Os sites estão classificados de acordo com o tipo (ex: mecanismos de busca, redes sociais, sites de notícia, etc) e também tem uma informação sobre o rank do site (obviamente, já está desatualizada). Não deixa de ser curioso o fato de que o Twitter não é mencionado, provavelmente um dos sites mais utilizados atualmente. Afinal, em 2007 o Twitter ainda não era popular (oficialmente, ele foi lançado em Agosto de 2006).

Além de divertido, ela serve como um boa referência, pois é possível clicar nos símbolos e ser redirecionado para os respectivos sites.

[Segurança] Frase do dia

Gostei muito dessa frase, do Presidente Obama.

“It’s the great irony of the Information Age that the very technologies that empower us to create and to build also empower those who would disrupt and destroy”

Traduzindo a frase dita pelo presidente americano no início do ano passado: "É a grande ironia da Era da Informação que muito das tecnologias que nos permite criar e construir também fortalece aqueles que querem perturbar e destruir".

(foto cortesia do site da Casa Branca)

[Segurança] Perspectivas para 2010

Final de ano é sempre assim, muitas empresas lançam suas retrospectivas para o ano que se vai e suas previsões para o próximo ano. Eu já falei aqui, recentemente, sobre algumas retrospectivas do mundo de segurança da informação em 2009. Recentemente o portal espanhol Hispasec publicou uma lista com as principais notícias da comunidade de segurança no ano de 2009, divididas em quatro posts, representando cada trimestre do ano. As retrospectivas de janeiro a março, abril a junho, de julho a setembro e de outubro a dezembro já estão disponíveis e valem a leitura. Aproveite a oportunidade para abaixar gratuitamente o pdf do livro Una ao Dia, uma excelente publicação que apresenta as principais notícias do mercado nos últimos 11 anos - uma ótima referência.

Além disso, é interessante comentar que o relatório "2009 Annual Security Report" da Message Labs indicou que, em 2009, tivemos um total de 73 milhões (putz!) variantes de malware (código malicioso), 5 milhões de computadores participando de botnets e enviando SPAMs, e que a média global de SPAM correspondeu a 87.7% do volume de mensagens enviadas. Ou seja, praticamente 9 em cada 10 e-mails que circularam no mundo eram SPAM.

Falando agora sobre as previsões para 2010, diversas empresas já publicaram seus palpites. A grande maioria delas, como a Panda Labs, Trend Micro e o Gartner, apostam que as principais novidades e ameaças serão relacionadas com Cloud computing (na expansão e ne neccessidade de segurança para este novo paradigma), com as redes sociais sendo exploradas para disseminação de malware, o crescimento das ameaças para telefones celulares e smartfones e aumento de preocupação com guerra cibernética e proteção da infra-estrutura crítica (termo que se refere a infra-estrutura necessária para manter os países funcionando hoje em dia, como rede elétrica, telecomunicações, esgoto, etc). O portal BankInfoSecurity.com também aposta que, dentre as fraudes que vão dominar o cenário de 2010, vão se destacar os crimes contra caixas automáticos (ATM), contra transaçoes eletrônicas e as invasões a redes corporativas das empresas do setor financeiro (isso se mostrou, em 2009, uma forma eficiente de roubar grandes quantidades de dados) e as suas aplicações online. (há mais algumas previsões, que tornam o artigo bem interessante). Um outro artigo muito bom e que cobre muito doque já foi dito e um pouco mais, foi publicado pela Daryus, que eu recomendo a leitura.

Já o relatório "Tendencias 2010: la madurez del crimeware" da empresa ESET, destaca entre outros o crescimento de uma nova ameaça, o "Malvertising", que corresponde ao uso de anúncios falsos na Internet para distribuir códigos maliciosos (mas até que isso não é tão novo assim, eu lembro de já ter ouvido vários casos disso no passado). Outro relatório interessante é o da Kaspersky, que lançou seis previsões sobre o cenário de ameaças em 2010 através do relatório "2010 Cyberthreat Forecast". A visão da empresa russa foca no crescimento dos ataques através de redes de compartilhamento e P2P, no declínio dos falso programas de antivírus (pois o "mercado" deles está saturado e as empresas tem combatido bastante esta ameaça) e no uso do Google Wave como novo vetor de ataques.

Eu, particularmente, fiquei decepcionado com as previsões da F-Secure, que em sua quase totalidade me pareceram bem óbvias, como a primeira, que diz que o "Windows 7 vai ganhar market share em 2010" - é mais do que natural que um software recém lançado vai, no mínimo, começar a ser utilizado e, portanto, vai ganhar market share. Só achei interessante eles terem dado destaque para a copa mundial de futebol na África do Sul, em 2010 (algumas emrpesas também pensaram nisso, mas nem todas). Um belo acerto, na minha opinião, pois o evento vai movimentar muitos SPAMs, phishings e tentativas de fraude no próximo ano. Algo que já aconteceu na Olimpíada de Pequim, onde até sites falsos para a venda de ingressos foram encontrados.

A iDefense, o grupo de inteligência em segurança da VeriSign, também preparou um estudo com a análise dos principais fatos que aconteceram em 2009 e com as principais previsões para o mercado e o ambiente de segurança para o ano que vem. O material completo somente será divulgado ao público em um webinar no final de Janeiro (por enquanto, somente os clientes receberam este relatório), mas algumas (das 18) previsões da iDefense para o ano que vem são as seguintes:

• A iDefense prevê que haverá mais vulnerabilidades do Windows 7 em 2010 do que todas as vulnerabilidades descobertas do Windows Vista nos três anos desde o seu lançamento.
  
• O uso de sites de redes sociais para distribuição de código malicioso aumentará rapidamente em relação a outros tipos de mecanismos de distribuição.
  
• O governo americano provavelmente vai passar a maior parte de 2010 tentando implementar as prioridades de segurança que fixou em 2009, mas terá algum sucesso, algumas falhas e incoerências crescentes.
  
• Os atacantes russos vão aumentar a complexidade de seus ataques contra instituições financeiras, especialmente pela combinação de diversos ataques, como utilizar os ataques de DDoS para distrair o pessoal de segurança enquanto executam grandes transações fraudulentas.
  
• As operações de roubo de informação do govero Chinês contra seus rivais estratégicos ou contra fontes de propriedade intelectual devem aumentar, sendo ainda mais intensa contra a Índia do que contra outras nações.
  
• Os criminosos brasileiros vão concentrar mais atenção em aumentar a eficácia dos métodos de distribuição de malware (incluindo adotar novos métodos, além do tradicional phishing, como distribuir código malicioso através de páginas web válidas, previamente infectadas).
  
• No longo prazo (2010-15), os governos em todo o mundo estarão dedicando parte de seus orçamentos para segurança e começarão a definir uma política internacional para o espaço cibernético.

Para conhecer as previsões da iDefense com maiores detalhes, registre-se no webinar gratuito que acontecerá em 28 de Janeiro.

E, nesse último post do ano, vamos torcer para que a indústria consiga se adaptar as melhores e piores previsões que se realizarão em 2010, para que os usuários de Internet e as pessoas em geral possam utilizar a rede de forma segura.

OBS: Atualizado em 14 de Janeiro para incluir as referências e comentários sobre a Message Labs, a ESET, Trend Micro e Kaspersky.

Boas Festas

Quero fazer uma pequena pausa no meu blog para desejar um Feliz Natal para todos e um ano novo repleto de esperanças, felicidades e sucesso.

(Eu não sou nenhum pouco criativo para escrever mensagens de parabéns, felicitações, comemorações, etc...)

Esta foto foi tirade nesta semana na árvore de natal colocada ao lado do Parque do Ibirapuera, em São Paulo. Ela já se tornou uma tradição na cidade, e eu faço questão de visitá-la todos os anos :)

Aos leitores mais "geek", eu sugiro passar a noite de 25 de dezembro acompanhando o site "NORAD Tracks Santa", onde o departamento responsável pela monitoração do espaço aéreo americano e canadense (o NORAD) utiliza sua tecnologia para acompanhar o trajeto do Papai Noel na noite de Natal. Atualmente, será possível acompanhar o Papai Noel pelo Google Earth (antes não tinha isso - sinal dos tempos !!!). Uma brincadeira que surgiu há alguns anos atrás, mas que não deixa de ser legal :)

[Segurança] Retrospectiva 2009

O portal BankInfoSecurity publicou um artigo recentemente listando os maiores incidentes de 2009 relacionados a vazamentos de dados. É uma retrospectiva macabra, que nos faz lembrar quantos milhões de números de cartão de crédito e dados pessoais foram roubados pelos criminosos virtuais nos Estados Unidos somente neste ano.

Segundo o site, os 9 maiores vazamentos de dados foram os seguintes:

1. Heartland Payment Systems (20 de Janeiro): dados de 130 milhões de cartões de crédito e débito
2. RBS WorldPay (Novembro de 2008 e 4 de Fevereiro 4 de 2009): dados de 1.5 milhões de cartões de crédito e débito
3. Countrywide Financial (4 de Maio): Números de 4.000 contas
4. Chase Bank (10 de Maio): Não foi divulgado o número de dados roubados
5. Network Solutions (8 de Junho): Robados dados de 573.000 proprietários de cartões de crédito e débito
6. American Express (7 de Julho): dados de milhares de cartões
7. Capitol One Bank (06 de Setembro): Não foi divulgado o número de dados de conta corrente roubados
8. PayChoice (15 de outubro): Não foi divulgado o número de clientes afetados
9. Bank of New York Mellon (28 de Outubro): identidade de mais de 150 funcionários

O artigo tem um pouco mais de detalhes sobre os incidentes acima. O roubo de dados da Heartland Payment Systems, uma das maiores empresas processadoras de transações dos EUA, é certamente o maior incidente do ano. O incidente foi anunciado no começo deste ano, em 20 de Janeiro, após descobrirem que a rede da empresa havia sido invadida e os criminosos permaneceram capturando os dados das transações por vários meses. O principal criminoso responsável pela invasão, Alberto Gonzalez, já foi identificado e está sendo processado pela justiça dos EUA. Por causa do incidente, a Heratlando foi condenada recentemente a pagar uma indenização de 3.6 Milhões de dólares para a American Express.

O BankInfoSecurity também publicou uma retrospectiva interativa muito interessante dos principais incidentes de vazamento de dados de 2009.

[Segurança] Cartilha sobre Segurança em Redes Sociais

Durante o Dia Internacional de Segurança em Informática 2009 (DISI), que aconteceu no dia 2 de dezembro, o CAIS lançou a cartilha "Segurança em Redes Sociais: Recomendações Gerais".

O objetivo da cartilha é conscientizar os usuários sobre como utilizar as redes sociais de forma segura e responsável. A cartilha apresenta algumas recomendações gerais e também várias dicas específicas para as redes sociais mais populares no Brasil: Orkut, Twitter e o Facebook. As principais recomendações gerais, e que valem para qualquer site de relacionamento, são apresentadas no início da cartilha, e elas incluem:

• Muita atenção na hora de aceitar convites de amigos. Tente reconhecer a pessoa pela foto e pelas informações em seu perfil. Amigos demais podem indicar um perfil fraudulento.
  
• Há várias recomendações para os usuários tomarem cuidado com suas senhas, como uso de senhas fortes (senhas com pelo menos oito caracteres, misturando letras, números e símbolos), a troca frequente e o uso de um software para gerenciar suas senhas. E, principalmente, não use a mesma senha em sites diferentes. O site da SANS chamado "Security Awareness Tip of the Day" tem algumas dicas interessantes sobre como criar senhas fortes.
  
• Sempre saia do serviço adequadamente, usando o link "logout" (ou "sair"). Nunca feche a janela do navegador sem antes sair do site.
  
• A cartilha também recomenda cuidado com os encurtadores de URL, como o bit.ly e o tinyurl. Eles podem ser utilizados para redirecionar as pessoas para sites maliciosos.

Além disso, o CAIS lembra que não devemos divulgar informações pessoais em sites de relacionamento, como endereço, telefones, e-mail e dados bancários. Evite colocar estas informações e detalhes de sua vida no seu perfil ou mesmo nas mensagens que troque com seus amigos.