junho 26, 2008

[Segurança] Como combater o uso criminoso da Internet?

Recentemente vi dois artigos muito interessantes que descrevem como o MySpace e o UOL combatem o uso criminoso de seus serviços. Estes artigos foram publicados em função do estardalhaço causado pela CPI da Pedofilia, que tem movimentado os congressistas, provedores de acesso, policiais, opinião pública e a imprensa.

O artigo "MySpace Brazil monitora conteúdo de internautas diariamente" publicado recentemente no portal Convergência Digital me chamou a atenção pois mostra algumas boas práticas realizadas pela MySpace que, na minha opinião poderiam ser seguidas facilmente por todos os fornecedores de serviços online para garantir a melhor proteção dos seus usuários e evitar o acesso de pessoas que pretendam fazer uso criminoso da Internet.

Entre 2005 e 2006 a MySpace enfrentou sérias denúncias, nos Estados Unidos, de ter vários pedófilos entre seus usuários. Na época, eu mesmo comentei neste blog sobre um excelente artigo na Wired News que detalhava a pesquisa realizada pelo Kevin Poulsen e que lhe permitiu identificar alguns pedófilos condenados que mantinham perfis no site. Após este fato, a empresa investiu na criação de diversos mecanismos de proteção e monitoramento das atividades, conforme relatado no artigo da Convergência Digital e que faço questão de destacar abaixo:

  • todas as imagens postadas passam por uma primeira verificação para identificar os materiais suspeitos, que em seguida são enviados para revisão, onde as imagens e conteúdos confirmados como inadequados são eliminados do site;
  • imagens e conteúdos indevidos são removidos em até 30 minutos, sendo as autoridades notificadas sobre a identificação do material;
  • as páginas removidas e as informações que permitem identificar o computador de onde foram postadas são mantidas por um ano, podendo ser requisitadas pelas autoridades judiciais;
  • possui um sistema de bloqueio automático de sites pornográficos;
  • links para facilitar que os usuários façam denúncias de conteúdo associado a pedofilia;
  • monitoração de textos que contenham palavras indevidas;
  • há mecanismos para prevenir contatos indesejados entre usuários, como impedir a comunicação entre adultos e menores de 18 anos;
  • os usuários adolescentes têm seus perfis configurados automaticamente como privados e eles tem a opção de bloquear contatos com usuários adultos;
  • as ferramentas de busca não fornecem informações sobre usuários com menos de 16 anos;
  • os pais tem um recurso que lhes permite monitorar a atividade dos filhos;
  • novos usuários tem seus dados cruzados com um banco de dados sobre as pessoas processadas por pedofilia (esta informação é fornecida pelas autoridades norte-americanas). Além de impedir a entrada de pessoas que constam na lista, o MySpace notifica as autoridades quando isto ocorre.


O UOL também desenvolve várias ações similares para proteger seus usuários, conforme descrito em uma reportagem da redação do UOL ("Bate-papo UOL identifica possíveis crimes em tempo real"). Abaixo transcrevi as principais atividades, omitindo alguma similares ao MySpace:
  • um software monitora as salas de bate-papo criadas e alerta sobre o surgimento de temas suspeitos. Um pessoal especializado examina a sala e, se considerar a suspeita procedente, o UOL fecha a sala, armazena os dados de endereço IP, data e horário dos acessos e faz a denúncia ao Ministério Público. Esses dados poderão ser formecidos às autoridades mediante autorização da Justiça;
  • acesso fácil à Central de Denúncia do UOL, com apenas um clique, a partir de qualquer sala ou página do Bate-papo UOL;
  • o UOL mantém páginas com dicas de segurança, além de divulgar constantemente nas salas do Bate-papo selos educativos e mensagens contra pornografia infantil, pedofilia e outros crimes;
  • não oferece salas específicas para menores de 15 anos e não estimula o uso do bate-papo junto ao público infantil;
  • uma tela de advertência é exibida na entrada das salas de trocas de imagens e das salas criadas pelo público, informando como proceder em caso de comportamento indevido durante o bate-papo.


Estas ações do MySpace e do UOL são um ótimo exemplo de como duas gigantes no mundo Internet conseguem combater proativamente o mau uso da rede através de controles simples e que podem ser implantados facilmente por grandes e pequenos provedores. A Internet não é um paraíso e, ao mesmo tempo, não pode se tornar "terra de ninguém". Da mesma forma que, no mundo real, corremos o risco de encontrar pessoas mal intencionadas a qualquer momento (como ladrões, trombadinhas, tarados, pedófilos e assassinos), a Internet também é frequentada por pessoas com desvio de comportamento e com intenção criminosa. Assim, é utopia pensar que a rede pode ser acessada livremente e impunemente.

junho 25, 2008

[Segurança] Apresentação sobre o roubo de identidade

Recentemente recebi um link para uma apresentação online sobre Roubo de Identidade (Identity Theft), um problema antigo, mas que na era da Internet tem tomado proporções alarmantes. Qem nunca tinha ouvido falar de um caso onde algum estelionatário utilizou uma identidade falsa para criar uma conta bancária e cometer fraudes? Ou roubou os documentos de alguém e, com eles, abriu contas bancárias falsas? No mundo da Internet, o roubo de identidade permite que criminosos online tenham acesso fácil a dados pessoais e informações financeiras de milhares de pessoas em qualquer parte do mundo.

Este material da empresa eSgulf é bem interessante e bem feito: aborda o que é o roubo de identidade, o impacto deste tipo de crime e as principais formas de evitar e se prevenir.



Mas outro ponto interessante dessa história toda e que não pode passar desapercebido é justamente o site que hospeda este material: o SlideShare é um site criado para permitir o compartilhamento de apresentações. Um site muito interessante com muito material disponível.

junho 23, 2008

[Segurança] ISSA Day de Junho com OWASP

O ISSA Day deste mês está marcado para o próximo dia 26 de junho (nesta quinta-feira). Nesta edição, o capítulo Brasil da ISSA conta com o patrocínio da Fortify e da Leadcomm e com uma apresentação de Leonardo Cavallari sobre o Ranking OWASP TOP 10.

O Capítulo Brasil do OWASP, por meio de seus voluntários, realizou a tradução do OWASP TOP 10 2007, um documento muito útil e completo que reúne as 10 vulnerabilidades mais críticas em aplicações WEB. A versão traduzida pode ser vista aqui.

Data: 26/06 das 19h às 22h
Local: Auditório da LeadComm - Rua Samuel Morse, 120, Brooklin/Berrini (Mapa aqui)

Agenda:
19:00 - 19:15 - Welcome Coffee
19:15 - 19:30 - Abertura ISSA
19:30 - 20:00 - Palestra Leadcomm / Fortify
20:00 - 21:30 - Palestra "OWASP TOP 10", Leonardo Cavallari
21:30 - 22:00 - Coquetel de confraternização

Para inscrições, favor enviar e-mail para "presidencia arroba issabrasil.org" com o assunto "ISSA Day Junho". Informar no corpo do e-mail o seu nome completo, empresa e se é associado da ISSA Brasil (Sim / Não).

Palestra: "OWASP TOP 10" - O projeto OWASP (Open Web Application Security Project) tem como objetivo pesquisar e desenvolver ferramentas, guides para combater as falhas de segurança em aplicações web.

Sobre o palestrante:
Leonardo Cavallari Militelli é formado em Engenharia Elétrica - Modalidade Computação, pela Universidade Santa Cecília (UNISANTA) e Mestre em Engenharia Elétrica pela Escola Politécnica da Universidade de São Paulo. Mais recentemente, tornou-se especialista segurança de redes Wireless, com a obtenção da certificação GAWN, pelo SANS Institute. Atualmente, coordena a área de segurança da E-VAL Tecnologia, participa de projetos de pesquisa junto ao Núcleo de Segurança e Redes de Alta Velocidade (NSRAV) do Laboratório de Sistemas Integráveis (LSI), além de prestar serviços de consultoria e auditoria relacionados à segurança da informação em seus diversos segmentos. Suas principais linhas de atuação são segurança de infra estrutura, redes Wireless, pen-testing de redes e aplicações Web e detecção de intrusos.

junho 19, 2008

[Segurança] SI em Filmes de Hollywood

O Henrique Werneck publicou, em seu site, uma ótima e bem compilada relação de filmes cuja estória, direta ou indiretamente, está relacionada com segurança da informação ou tem cenas em que um personagem realiza alguma ação relacionada ao tema (como, por exemplo, utilizar um leitor biométrico para acesso ao computador central).

A lista é bem completa (atualmente tem mais de 50 filmes) e inclui o título nacional, o título original, o ano de lançamento, o link no site Internet Movie Database (IMDb) e uma breve sinopse do filme.

Esta relação é uma ótima referência para todos os profissionais da área, e vários destes filmes podem ser citados como exemplos e referências em palestras ou treinamentos. Eu mesmo já utilizei o trailer de alguns deles para abrir palestras e, assim, atrair uma maior simpatia do público - além de utilizá-lo para ilustrar o assunto de uma forma mais palpável (e traçando um paralelo com o mundo real).

A propósito, o pessoal do insecure.org não perdeu tempo e, desde a época do lançamento do filme Matrix, já tinham colocado no site do nmap algumas imagens da cena em que a Trinity utiliza a ferramenta. Melhor do que isso, no site deles tem uma página só sobre as aparições do nmap nos filmes de Hollywood !!!

junho 17, 2008

[Segurança] Vídeos sobre segurança da informação

No final de maio foi lançado o site SecurityTube.Net, com cerca de 90 vídeos relacionados a Segurança da Informação.

Os vídeos são bem interessantes, sendo que a maioria são tutoriais. Estão divididos em 4 categorias: Coding (focados em programação), Tools (sobre como as ferramentas funcionam), Basics (informações em nível mais básico, para iniciantes) e Fun.

junho 13, 2008

[Segurança] Seminário Internacional: Internet & Compliance

Na próxima quarta-feira, dia 18/06, a CLM e a Relatório Bancário vão organizar o Seminário Internacional: Internet & Compliance no Hotel Sonesta Ibirapuera (Av. Ibirapuera, 2534 em Moema) com o apoio institucional da ISSA Brasil.

O evento vai discutir as novidades sobre o assunto com especialistas, inclusive tecnologias que permitem um melhor controle do uso da Internet, de forma a minimizar o risco inerente, no que tange a produtividade, vazamento de informações confidenciais e outras.

A inscrição pode ser feita online no site da CLM e todos os associados ativos da ISSA Brasil tem direito a inscrição gratuita.

junho 06, 2008

[Cidadania] Protesto contra "a nova CPMF"

O nosso Congresso está tentando aprovar a "emenda 29", que amplia os recursos para a Saúde com a criação de um novo imposto específico para isso, que rapidamente já foi batizado de "nova CPMF" (Contribuição Provisória sobre Movimentação Financeira), mesmo tendo ressurgido com um nome novo, de CSS (Contribuição Social para a Saúde).

A CSS funcionaria nos mesmos moldes da CPMF, mas com uma alíquota menor, de 0,10%. O governo estima que a Contribuição Social para a Saúde deverá arrecadar cerca de R$10 bilhões. Como se não bastassem os recordes de arrecadação do governo e a alta carga tributária que já temos: 46% de impostos na energia elétrica ou os 36% que pagamos para tomar um café.

A Rádio Eldorado criou um abaixo-assinado online contra a tentativa do governo e dos parlamentares de recriar a CPMF:

http://www.radioeldorado.com.br/fm/campanha_css/index.asp


Ninguém agüenta mais pagar tanto imposto neste País!!!

Mesmo na época da CPMF, o sistema de saúde pública já era ineficiente. E o governo não pode reclamar de falta de recursos - basta ver os recordes de arrecadação: "A arrecadação de impostos e tributos fechou os primeiros quatro meses do ano com o valor recorde de R$ 223,2 bilhões, uma alta de 12,56% sobre o mesmo período do ano passado." (segundo reportagem da Folha)

O Governo simplesmente usa a Saúde como uma desculpa esfarrapada para justificar o aumento de impostos e satisfazer sua ânsia desenfreada pelo nosso dinheiro.

Exerça a sua cidadania ! Se você também estiver indignado e quiser se expressar, participe do abaixo-assinado contra a nova CPMF.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.