junho 26, 2009

[Segurança] Vídeo mostra quadrilha que rouba senhas bancárias

Esta reportagem da Rede Globo mostra a ação de uma quadrilha especializada em roubar cartões de débito e senhas de clientes de vários bancos.

As imagens mostram o modus-operandi dos golpistas: um homem (ou uma mulher) se passa por cliente do banco na área onde ficam os caixas eletrônicos, e instala um dispositivo para aplicar o golpe: uma falsa leitora que retém os cartões bancários. Quando um cliente tem problema, ele se aproxima e oferece para "ajudar": ele (ou ela) liga do próprio celular para um falso serviço de atendimento ao cliente e repassa o telefone para a vítima, que acredita estar falando com um funcionário do banco e revela informações confidenciais (dados, senhas, etc).

O vídeo é impressionante, pois mostra a facilidade que os bandidos tinham em aplicar seus golpes a luz do dia.



A polícia, através do Departamento de Investigações Sobre o Crime Organizado (Deic), ainda procura a quadrilha. É difícil de acreditar, mas segundo a reportagem, os integrantes já foram presos no sul do país e colocados em liberdade.

Outra forma parecida de golpe, e também muito comum, consiste no uso de dispositivos chamados "chupa-cabra". Muitas vezes são dispositivos semelhantes ao mostrado na reportagem, mas ao invés de reter o cartão da vítima, ele é fixado sobre a leitora do caixa eletrônico para copiar os dados da trilha magnética no momento em que inserimos o cartão. É uma técnica um pouco mais avançada (tecnologicamente falando) do que a mostrada nesta reportagem, e igualmente perigosa.

junho 18, 2009

[Segurança] Evento do GTS e GTER começa amanhã

Começa amanhã, dia 19 de junho, o evento conjunto GTER-27 e GTS-13, organizado pelo NIC.br. Os eventos são tradicionais na área e costumam ter palestras de altíssima qualidade técnica.

O primeiro dia é dedicado ao encontro do GTER, o Grupo de Trabalho em Engenharia de Redes e no dia 20/06, sábado, teremos o encontro do GTS (Grupo de Trabalho em Segurança). Em cada dia, a temática das palestras é voltada principalmente para o tema do encontro (O GTER aborda engenharia de redes e comunicações e o tema segurança da informação é o foco do GTS).

As 10:50 do sábado, dia 20/06, eu vou apresentar o trabalho "O Crime Cibernético contra as Leis: o cenário da América Latina" no GTS, onde vamos discutir o cenário de ameaças e as iniciativas legais nos principais países da América Latina e como eles se correlacionam quando analisamos a segurança da informação baseada em um cenário global.

Graças a colaboração dos profissionais que apresentaram suas propostas, nesta edição o GTER / GTS tem um excelente programa.

O evento é gratuito. As inscrições on-line já foram encerradas, mas novas inscrições
poderão ser feitas pessoalmente no local do evento.

junho 17, 2009

[Segurança] Vídeo de conscientização para os jovens

A Defensoria do Menor, a Telefônica e a Caja Madrid criaram uma excelente campanha educativa sobre os perigos da Internet voltada especialmente para os jovens espanhóis. O vídeo é curto, simples e direto, e aborda os perigos que os jovens se expoem ao publicarem suas fotos na rede e terem suas imagens compartilhadas indiscriminadamente.

Este é um fenômeno recente, que tem assumido grandes proporções com a popularização das comunidades virtuais, fotologs, das trocas de fotos pessoais e íntimas e, porque não, fruto da popularização das câmeras fotográficas embutidas em celulares. Um dos riscos é o chamado "cyber bullying", onde adolescentes ameaçam e ridicularizam um(a) determinado(a) colega pela Internet (através de posts em sites, comunidades, mensagens de SMS, etc). Outro é o "sexting", a troca de mensagens eróticas entre os adolescentes mas que acabam sendo publicadas ou compartilhadas na Internet, em geral fotos que tiram de si mesmos para enviar para a namorada (ou namorado) ou colegas.

Hoje, mais do que nunca, crianças e adolecentes tiram fotos de seus amigos e de si mesmos em situações corriqueiras ou mesmo em situações íntimas. Seja acidentalmente ou fruto de um ato mal intencionado, estas fotos podem facilmente ser divulgadas além do seu círculo de amizade. Seja por vingança ou com o intuito de ofender a vítima. Ou um simples acidente, como uma foto esquecida em um pendrive, ou em um computador que foi para a manutenção (e caiu nas mãos de um técnico bisbilhoteiro).

junho 15, 2009

[Cyber Cultura] Dez Princípios para a Governança e Uso da Internet no Brasil

O CGI.br (Comitê Gestor da Internet no Brasil) publicou uma nova resolução onde enumera os dez Princípios para a Governança e Uso da Internet no Brasil:

1. Liberdade, privacidade e direitos humanos: O uso da Internet deve guiar-se pelos princípios de liberdade de expressão, de privacidade do indivíduo e de respeito aos direitos humanos, reconhecendo-os como fundamentais para a preservação de uma sociedade justa e democrática.

2. Governança democrática e colaborativa: A governança da Internet deve ser exercida de forma transparente, multilateral e democrática, com a participação dos vários setores da sociedade, preservando e estimulando o seu caráter de criação coletiva.

3. Universalidade: O acesso à Internet deve ser universal para que ela seja um meio para o desenvolvimento social e humano, contribuindo para a construção de uma sociedade inclusiva e não discriminatória em benefício de todos.

4. Diversidade: A diversidade cultural deve ser respeitada e preservada e sua expressão deve ser estimulada, sem a imposição de crenças, costumes ou valores.

5. Inovação: A governança da Internet deve promover a contínua evolução e ampla difusão de novas tecnologias e modelos de uso e acesso.

6. Neutralidade da rede: Filtragem ou privilégios de tráfego devem respeitar apenas critérios técnicos e éticos, não sendo admissíveis motivos políticos, comerciais, religiosos, culturais, ou qualquer outra forma de discriminação ou favorecimento.

7. Inimputabilidade da rede: O combate a ilícitos na rede deve atingir os responsáveis finais e não os meios de acesso e transporte, sempre preservando os princípios maiores de defesa da liberdade, da privacidade e do respeito aos direitos humanos.

8. Funcionalidade, segurança e estabilidade: A estabilidade, a segurança e a funcionalidade globais da rede devem ser preservadas de forma ativa através de medidas técnicas compatíveis com os padrões internacionais e estímulo ao uso das boas práticas.

9. Padronização e interoperabilidade: A Internet deve basear-se em padrões abertos que permitam a interoperabilidade e a participação de todos em seu desenvolvimento.

10. Ambiente legal e regulatório: O ambiente legal e regulatório deve preservar a dinâmica da Internet como espaço de colaboração.

Os mandamentos acima vem em uma boa hora, no momento em que a sociedade e a classe política discutem o projeto de lei contra crimes digitais, conhecido também como o projeto do Senador Azeredo (e alguns movimentos erroneamente e marketeiramente chamaram de "AI-5 Digital"). Na minha opinião o decálogo acaba representando uma postura bem moderada e correta no que se refere ao centro das discussões atuais: o direito (e dever) do Estado em proteger e legislar sobre o uso indevido da Internet, principalmente no que diz respeito ao princípio de que "O combate a ilícitos na rede deve atingir os responsáveis finais e não os meios de acesso e transporte, sempre preservando os princípios maiores de defesa da liberdade, da privacidade e do respeito aos direitos humanos". Este princípio deixa claro a posição do Comitê contra algumas iniciativas em discussão que acabam por penalizar ou responsabilizar os provedores de acesso e de conteúdo. Também se estabelece a necessidade e importância em preservar a segurança através de medidas técnicas e legais, sem que estas prejudiquem o funcionamento da Internet, conforme disposto nos princípios 8 e 10, ao declararem que "A estabilidade, a segurança e a funcionalidade globais da rede devem ser preservadas de forma ativa através de medidas técnicas compatíveis com os padrões internacionais e estímulo ao uso das boas práticas" e que "O ambiente legal e regulatório deve preservar a dinâmica da Internet como espaço de colaboração".

Este documento foi aprovado na 3ª reunião ordinária de 2009, que aconteceu em 24 de abril de 2009, mas aparentemente foi publicado hoje (o documento em PDF do decálogo disponível para download está com a data de hoje).

[Cyber Cultura] Phreacker americano se conecta à internet usando um modem de 1964

Uma matéria no site Geek me chamou a atenção: um phreacker americano postou um vídeo no YouTube mostrando com ele conseguiu se conectar e navegar usando um modem bem antigo.

O americano K.C., conhecido como “Phreakmonkey”, usou um modem analógico “Model A Acoustic Coupler Modem”, produzido em 1964 pela Livermore Data Systems, que ele ganhou em 1989 (aproximadamente) da viúva de um engenheiro aposentado da IBM. O único outro modelo semelhante (um Modelo B de 1965), segundo o vídeo, está no Computer History Museum, na Califórnia. O modem funciona a uma velocidade de 300 bits por segundo - o que é considerado extremamente lento, pois mesmo os piores modens ainda existentes costumam ter velocidade de 14.400 bps (14,4 mil bits por segundo), enquanto um modem discado moderno se conecta a 56 mil bits por segundo e uma conexão rápida bastante comum no Brasil gira em torno de, pelo menos, um milhão de bits por segundo.

Ele também postou mais informações e fotos em seu blog (mais precisamente, em dois posts: esse e esse aqui), onde comenta algumas coisas interessantes, como o fato de que o modem funcionou sem que ele precisasse fazer nenhum tipo de conserto ou modificação nos componentes originais.

[Segurança] Phishing engana 88% dos usuários web

Uma pesquisa divulgada recentemente pela VeriSign mostrou que nada menos do que 88% dos consumidores online nos EUA não conseguem identificar sites falsos criados pelos "phishers" (isto é como chamamos os criminosos que criam as mensagens de phishing).

Há várias pistas que normalmente ajudam os usuários online a perceber se um site ou uma mensagem de e-mail são falsos, como por exemplo:
  • Erros de digitação ou de escrita no site, pois é comum os criminosos cometerem alguns erros simples de gramática ou de concordância nos textos ou nos títulos das mensagens e sites que eles criam. Sites de phishing com estes erros não foram percebidos por 88% dos entrevistados.
  • Ausência do símbolo do cadeado indicando que a conexão é segura (através de SSL, que garante a identidade do site e a criptografia, isto é, o sigilo dos dados enviados ao site). Esta é uma pista muito comum pois os sites falsos não conseguem reproduzir os certificados SSL dos sites verdadeiros. Consequentemente, os phishings mais sofisticados apelam para colocar simples imagens de cadeados no site (para dar uma falsa indicação de que o site é seguro), usam certificados falsos ou de demonstração (associados a outros domínios) ou, raramente, conseguem explorar alguma falha de um site verdadeiro para injetar a tela de phishing no site real. De qualquer forma, a ausência do cadeado não foi notada por 68% dos consumidores entrevistados. Na minha opinião há um fator adicional, válido pelo menos aqui no Brasil: vários bancos colocam a tela de entrada do Internet Banking "dentro" da página inicial (através de um frame, por exemplo), de forma que o acesso fica de fácil navegação para o cliente, mas desta forma as indicações da conexão segura SSL não aparece (nem o cadeado nem o https na barra de endereços).
  • O endereço do site (URL) contendo nomes ou números não relacionados ao site original. Como os criminosos utilizam outros sites para hospedar suas páginas falsas, a URL (endereço web) do site nunca corresponde ao site original. Ou é um endereço parecido (com um nome parecido, como www.seub4nco.net em vez de www.seubanco.com.br) ou, em muitos casos, é uma URL de outro site que nada tem a ver com o site original (por exemplo, www.hospedeaquiseusite/seubanco). Este é um erro que pode ser percebido muito fácilmente (basta olhar o link na mensagem ou o endereço na barra de endereços do navegador), mas mesmo assim quase a metade (42%) dos usuários entrevistados não perceberam isto.
  • Solicitação de dados da conta desnecessários. Como as mensagens e os sites de phishing querem roubar os dados do cliente, normalmente eles pedem que o usuário forneça todos os seus dados em uma única tela. Em vez da tela de login do seu banco pedir apenas o seu nome (ou número da conta corrente) e sua senha, no site de phishing a tela de login já pede todos os seus dados bancários de uma única vez: número da conta, todas as senhas (incluindo do cartão de senha, se seu banco utilizar), dados dos cartões de crédito, as vezes até o CPF e por aí vai. Aí, não tem jeito, você já está entregando todos os seus dados na mão dos criminosos. 33% dos usuários pesquisados caíram no golpe de phishing neste momento (que é um índice bem alto, na minha opinião).


Para ajudar os usuários a identificar sites falsos, a VeriSign lançou um jogo online chamado "Phish or No Phish Challenge", onde foram criados alguns exemplos de sites de phishing para os internautas identificarem quando o site possui alguma característica que o identifique como sendo uma farsa. Os exemplos são um pouco simples demais, as vezes, mas ainda assim podem ajudar a educar as pessoas a terem mais cuidados.

Aqui no Brasil, a RNP mantém um ótimo catálogo de fraudes online, com centenas de exemplos reais de mensagens fraudulentas que já circularam pela Internet (atualizado constantemente).

ATUALIZADO: O portal de segurança do G1 lançou hoje um teste com dez perguntas para os usuários avaliarem o quanto conhecem e estão informados sobre as ferramentas e recursos de segurança de seus computadores e sobre as principais ameaças atuais. O teste é simples e interativo, onde após cada pergunta são mostradas as respostas (qual é a correta e quais são as erradas) com um link para uma explicação mais detalhada sobre o assunto.

junho 02, 2009

[Cyber Cultura] A Internet em 1996

O blog Royal Pingdom tem um post muito interessante que comenta e ilustra como era a Internet em 1996, há exatos 13 anos atrás (e, coincidentemente, o ano que a Internet começou a se popularizar aqui no Brasil).

Além de mostrar quais eram os principais sites da época e o visual deles, o site lembra que, em 1996...
Home page do UOL em 1996
  • O Google ainda não existia. Os internautas daquela época usavam o Yahoo, Lycos e o Altavista - e usávamos o Cadê aqui no Brasil
  • Haviam apenas 100.000 websites em Janeiro de 1996, comparado com os mais de 160 milhões em 2008
  • A grande maioria dos usuários utilizavam o Browser Netscape Navigator, que era gratuito, enquanto poucos usavam o Microsoft Internet Explorer (na época, na versão 3). Por isso mesmo, a página da Netscape era a campeã de acessos, pois era a página default da maioria dos browsers.

Ainda em 1996, no mês de outubro surgiu o Universo Online, hoje o maior portal da Internet brasileira. Na época, era possível abaixar do site da Fapesp um arquivo TXT com a relação de todos os domínios cadastrados (não havia um mecanismo simples de busca como temos hoje).
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.