Páginas

dezembro 31, 2009

[Segurança] Perspectivas para 2010

Final de ano é sempre assim, muitas empresas lançam suas retrospectivas para o ano que se vai e suas previsões para o próximo ano. Eu já falei aqui, recentemente, sobre algumas retrospectivas do mundo de segurança da informação em 2009. Recentemente o portal espanhol Hispasec publicou uma lista com as principais notícias da comunidade de segurança no ano de 2009, divididas em quatro posts, representando cada trimestre do ano. As retrospectivas de janeiro a março, abril a junho, de julho a setembro e de outubro a dezembro já estão disponíveis e valem a leitura. Aproveite a oportunidade para abaixar gratuitamente o pdf do livro Una ao Dia, uma excelente publicação que apresenta as principais notícias do mercado nos últimos 11 anos - uma ótima referência.

Além disso, é interessante comentar que o relatório "2009 Annual Security Report" da Message Labs indicou que, em 2009, tivemos um total de 73 milhões (putz!) variantes de malware (código malicioso), 5 milhões de computadores participando de botnets e enviando SPAMs, e que a média global de SPAM correspondeu a 87.7% do volume de mensagens enviadas. Ou seja, praticamente 9 em cada 10 e-mails que circularam no mundo eram SPAM.

Falando agora sobre as previsões para 2010, diversas empresas já publicaram seus palpites. A grande maioria delas, como a Panda Labs, Trend Micro e o Gartner, apostam que as principais novidades e ameaças serão relacionadas com Cloud computing (na expansão e ne neccessidade de segurança para este novo paradigma), com as redes sociais sendo exploradas para disseminação de malware, o crescimento das ameaças para telefones celulares e smartfones e aumento de preocupação com guerra cibernética e proteção da infra-estrutura crítica (termo que se refere a infra-estrutura necessária para manter os países funcionando hoje em dia, como rede elétrica, telecomunicações, esgoto, etc). O portal BankInfoSecurity.com também aposta que, dentre as fraudes que vão dominar o cenário de 2010, vão se destacar os crimes contra caixas automáticos (ATM), contra transaçoes eletrônicas e as invasões a redes corporativas das empresas do setor financeiro (isso se mostrou, em 2009, uma forma eficiente de roubar grandes quantidades de dados) e as suas aplicações online. (há mais algumas previsões, que tornam o artigo bem interessante). Um outro artigo muito bom e que cobre muito doque já foi dito e um pouco mais, foi publicado pela Daryus, que eu recomendo a leitura.

Já o relatório "Tendencias 2010: la madurez del crimeware" da empresa ESET, destaca entre outros o crescimento de uma nova ameaça, o "Malvertising", que corresponde ao uso de anúncios falsos na Internet para distribuir códigos maliciosos (mas até que isso não é tão novo assim, eu lembro de já ter ouvido vários casos disso no passado). Outro relatório interessante é o da Kaspersky, que lançou seis previsões sobre o cenário de ameaças em 2010 através do relatório "2010 Cyberthreat Forecast". A visão da empresa russa foca no crescimento dos ataques através de redes de compartilhamento e P2P, no declínio dos falso programas de antivírus (pois o "mercado" deles está saturado e as empresas tem combatido bastante esta ameaça) e no uso do Google Wave como novo vetor de ataques.

Eu, particularmente, fiquei decepcionado com as previsões da F-Secure, que em sua quase totalidade me pareceram bem óbvias, como a primeira, que diz que o "Windows 7 vai ganhar market share em 2010" - é mais do que natural que um software recém lançado vai, no mínimo, começar a ser utilizado e, portanto, vai ganhar market share. Só achei interessante eles terem dado destaque para a copa mundial de futebol na África do Sul, em 2010 (algumas emrpesas também pensaram nisso, mas nem todas). Um belo acerto, na minha opinião, pois o evento vai movimentar muitos SPAMs, phishings e tentativas de fraude no próximo ano. Algo que já aconteceu na Olimpíada de Pequim, onde até sites falsos para a venda de ingressos foram encontrados.

A iDefense, o grupo de inteligência em segurança da VeriSign, também preparou um estudo com a análise dos principais fatos que aconteceram em 2009 e com as principais previsões para o mercado e o ambiente de segurança para o ano que vem. O material completo somente será divulgado ao público em um webinar no final de Janeiro (por enquanto, somente os clientes receberam este relatório), mas algumas (das 18) previsões da iDefense para o ano que vem são as seguintes:

  • A iDefense prevê que haverá mais vulnerabilidades do Windows 7 em 2010 do que todas as vulnerabilidades descobertas do Windows Vista nos três anos desde o seu lançamento.
  • O uso de sites de redes sociais para distribuição de código malicioso aumentará rapidamente em relação a outros tipos de mecanismos de distribuição.
  • O governo americano provavelmente vai passar a maior parte de 2010 tentando implementar as prioridades de segurança que fixou em 2009, mas terá algum sucesso, algumas falhas e incoerências crescentes.
  • Os atacantes russos vão aumentar a complexidade de seus ataques contra instituições financeiras, especialmente pela combinação de diversos ataques, como utilizar os ataques de DDoS para distrair o pessoal de segurança enquanto executam grandes transações fraudulentas.
  • As operações de roubo de informação do govero Chinês contra seus rivais estratégicos ou contra fontes de propriedade intelectual devem aumentar, sendo ainda mais intensa contra a Índia do que contra outras nações.
  • Os criminosos brasileiros vão concentrar mais atenção em aumentar a eficácia dos métodos de distribuição de malware (incluindo adotar novos métodos, além do tradicional phishing, como distribuir código malicioso através de páginas web válidas, previamente infectadas).
  • No longo prazo (2010-15), os governos em todo o mundo estarão dedicando parte de seus orçamentos para segurança e começarão a definir uma política internacional para o espaço cibernético.

Para conhecer as previsões da iDefense com maiores detalhes, registre-se no webinar gratuito que acontecerá em 28 de Janeiro.

E, nesse último post do ano, vamos torcer para que a indústria consiga se adaptar as melhores e piores previsões que se realizarão em 2010, para que os usuários de Internet e as pessoas em geral possam utilizar a rede de forma segura.

OBS: Atualizado em 14 de Janeiro para incluir as referências e comentários sobre a Message Labs, a ESET, Trend Micro e Kaspersky.

dezembro 23, 2009

Boas Festas


Quero fazer uma pequena pausa no meu blog para desejar um Feliz Natal para todos e um ano novo repleto de esperanças, felicidades e sucesso.

(Eu não sou nenhum pouco criativo para escrever mensagens de parabéns, felicitações, comemorações, etc...)

Esta foto foi tirade nesta semana na árvore de natal colocada ao lado do Parque do Ibirapuera, em São Paulo. Ela já se tornou uma tradição na cidade, e eu faço questão de visitá-la todos os anos :)

Aos leitores mais "geek", eu sugiro passar a noite de 25 de dezembro acompanhando o site "NORAD Tracks Santa", onde o departamento responsável pela monitoração do espaço aéreo americano e canadense (o NORAD) utiliza sua tecnologia para acompanhar o trajeto do Papai Noel na noite de Natal. Atualmente, será possível acompanhar o Papai Noel pelo Google Earth (antes não tinha isso - sinal dos tempos !!!). Uma brincadeira que surgiu há alguns anos atrás, mas que não deixa de ser legal :)

dezembro 21, 2009

[Segurança] Retrospectiva 2009

O portal BankInfoSecurity publicou um artigo recentemente listando os maiores incidentes de 2009 relacionados a vazamentos de dados. É uma retrospectiva macabra, que nos faz lembrar quantos milhões de números de cartão de crédito e dados pessoais foram roubados pelos criminosos virtuais nos Estados Unidos somente neste ano.

Segundo o site, os 9 maiores vazamentos de dados foram os seguintes:

1. Heartland Payment Systems (20 de Janeiro): dados de 130 milhões de cartões de crédito e débito
2. RBS WorldPay (Novembro de 2008 e 4 de Fevereiro 4 de 2009): dados de 1.5 milhões de cartões de crédito e débito
3. Countrywide Financial (4 de Maio): Números de 4.000 contas
4. Chase Bank (10 de Maio): Não foi divulgado o número de dados roubados
5. Network Solutions (8 de Junho): Robados dados de 573.000 proprietários de cartões de crédito e débito
6. American Express (7 de Julho): dados de milhares de cartões
7. Capitol One Bank (06 de Setembro): Não foi divulgado o número de dados de conta corrente roubados
8. PayChoice (15 de outubro): Não foi divulgado o número de clientes afetados
9. Bank of New York Mellon (28 de Outubro): identidade de mais de 150 funcionários

O artigo tem um pouco mais de detalhes sobre os incidentes acima. O roubo de dados da Heartland Payment Systems, uma das maiores empresas processadoras de transações dos EUA, é certamente o maior incidente do ano. O incidente foi anunciado no começo deste ano, em 20 de Janeiro, após descobrirem que a rede da empresa havia sido invadida e os criminosos permaneceram capturando os dados das transações por vários meses. O principal criminoso responsável pela invasão, Alberto Gonzalez, já foi identificado e está sendo processado pela justiça dos EUA. Por causa do incidente, a Heratlando foi condenada recentemente a pagar uma indenização de 3.6 Milhões de dólares para a American Express.

O BankInfoSecurity também publicou uma retrospectiva interativa muito interessante dos principais incidentes de vazamento de dados de 2009.

dezembro 15, 2009

[Segurança] Cartilha sobre Segurança em Redes Sociais

Durante o Dia Internacional de Segurança em Informática 2009 (DISI), que aconteceu no dia 2 de dezembro, o CAIS lançou a cartilha "Segurança em Redes Sociais: Recomendações Gerais".

O objetivo da cartilha é conscientizar os usuários sobre como utilizar as redes sociais de forma segura e responsável. A cartilha apresenta algumas recomendações gerais e também várias dicas específicas para as redes sociais mais populares no Brasil: Orkut, Twitter e o Facebook. As principais recomendações gerais, e que valem para qualquer site de relacionamento, são apresentadas no início da cartilha, e elas incluem:
  • Muita atenção na hora de aceitar convites de amigos. Tente reconhecer a pessoa pela foto e pelas informações em seu perfil. Amigos demais podem indicar um perfil fraudulento.
  • Há várias recomendações para os usuários tomarem cuidado com suas senhas, como uso de senhas fortes (senhas com pelo menos oito caracteres, misturando letras, números e símbolos), a troca frequente e o uso de um software para gerenciar suas senhas. E, principalmente, não use a mesma senha em sites diferentes. O site da SANS chamado "Security Awareness Tip of the Day" tem algumas dicas interessantes sobre como criar senhas fortes.
  • Sempre saia do serviço adequadamente, usando o link "logout" (ou "sair"). Nunca feche a janela do navegador sem antes sair do site.
  • A cartilha também recomenda cuidado com os encurtadores de URL, como o bit.ly e o tinyurl. Eles podem ser utilizados para redirecionar as pessoas para sites maliciosos.

Além disso, o CAIS lembra que não devemos divulgar informações pessoais em sites de relacionamento, como endereço, telefones, e-mail e dados bancários. Evite colocar estas informações e detalhes de sua vida no seu perfil ou mesmo nas mensagens que troque com seus amigos.

dezembro 08, 2009

[Cidadania] Manifesto contra a publicidade para o público infantil

Seu fiho prefere assistir TV e fazer compras a brincar? Ele (ela) não consegue diferenciar uma manga de um pimentão, mas reconhece se o salgadinho é um Fandangos ou um Cheetos?

Diversas entidades prepararam o Manifesto "Publicidade Infantil Não", defendendo a importância da proteção da criança frente aos apelos mercadológicos e pedindo o fim das mensagens publicitárias dirigidas ao público infantil. Segundo o site, "A publicidade voltada à criança contribui para a disseminação de valores materialistas e para o aumento de problemas sociais como a obesidade infantil, erotização precoce, estresse familiar, violência pela apropriação indevida de produtos caros e alcoolismo precoce."



Se você não viu a importância deste manifesto, então assista o vídeo acima e reflita. E compare as situações mostradas no vídeo com o que acontece em sua casa, com seus filhos, sobrinhos, primos ou irmãos pequenos.

dezembro 02, 2009

[Cyber cultura] A história de um soldado americano


Eu vi esta dica em um post recente do blog Abordagem Policial entitulado "A história de um soldado (fotos)", que fala sobre o site Ian Fisher : American Soldier.

Este site é uma "photo collection" preparada pelo jornal Denver Post, que mostra a história de um jovem soldado norte-americano, Ian Fisher, nos 27 meses que incluíram seu alistamento no exército, seu treinamento, sua missão no Iraque e o retorno ao seu país. O texto é simples e objetivo, que serve de base narrativa para fotos lindas, muito caprichadas.