Ainda a (in)segurança

Se você adotou as providências mencionadas no post de anteontem, provavelmente não será incomodado pela maioria das janelinhas pop-up. No entanto, mesmo ao navegar por sites “legítimos”, telinhas dando conta de que “seu computador está em risco” e recomendando uma varredura online (que invariavelmente denuncia uma porção de “problemas” e recomenda a instalação de um suposto “antivírus”) costumam aparecer, visando encher as burras de cibercriminosos que se locupletam explorando a boa-fé alheia: afinal, se você tem um software antivírus ativo, operante, atualizado e dentro do prazo de validade, não faz sentido instalar outro aplicativo similar. E mesmo que você desconfie da eficácia de seu antivírus (afinal, nenhuma ferramenta de proteção é 100% confiável), jamais compre o software apregoado na janelinha pop-up. Caso ela seja persistente a ponto de você não conseguir fechá-la pelos métodos convencionais, pressione Alt + F4 ou acione o Gerenciador de Tarefas (Ctrl+Alt+Del) para encerrar o browser e resolver a questão. Feito isso, recorra a algum um serviço gratuito responsável – como o HouseCall , o Live OneCare , o ActiveScan  ou o Kaspersky  (dentre diversas outras opções já sugeridas aqui no Blog).
Outra questão importante remete ao Adobe Reader e aos aplicativos da suíte MS Office: além de eles serem relapsos em alertar para possíveis vulnerabilidades nos arquivos, sua popularidade estimula os cibercriminosos a buscar novas maneiras de invadir máquinas alheias explorando falhas em versões antigas ou em brechas recém-descobertas e ainda não corrigidas. Por conta disso, o melhor é você substituí-los por opções menos populares (como os aplicativos OpenOffice e o Foxit Reader ou o PDF Studio PDFs), ou encaminhar os arquivos para sua conta do GMail (para que o serviço verifique o conteúdo), ou ainda checá-los com o VirusTotal, que utiliza mais de 40 antivírus diferentes (para mais detalhes, clique aqui).
Para concluir, vale lembrar que não é boa política manter softwares ociosos em seu PC, especialmente se você não se dá ao trabalho de atualizá-los – para manter seus aplicativos sempre em dia, visite regularmente o site da Secunia (para mais detalhes, clique aqui ). Aliás, a Fundação Mozilla também disponibiliza uma página de serviços  que verifica se os plug-ins do seu navegador – tanto do Firefox quando do IE, do Opera e do Chrome – precisam ser atualizados, e a Symantec, um serviço que checa a segurança das Webpages pelas quais você eventualmente tenha receio de navegar.
Um ótimo dia a todos.

Java e (in)segurança

O JavaScript – linguagem de programação extremamente popular por rodar praticamente em qualquer navegador e aprimorar sobremaneira a dinâmica das Webpages – costuma ser amplamente explorado por pessoas mal intencionadas, de modo que não é recomendável permitir sua execução a partir de webpages nas quais você não confia totalmente.
Para tanto, quem utiliza o Firefox pode baixar um plug-in chamado NoScript, que é uma mão na roda para controlar quais paginas podem ou não executar instruções JavaScript (para mais informações e download, clique aqui). Já os usuários do Chrome contam com uma opção nativa para desabilitar o JavaScript e criar uma lista de sites confiáveis, mas quem permanece fiel ao bom e velho Internet Explorer deve configurar manualmente as zonas de Internet (para mais detalhes, clique aqui aqui). Seja qual for o navegador que você utiliza, não deixe de desabilitar também o JavaScript no Adobe Reader (para prevenir ataques via arquivos .pdf maliciosos), clicando em Editar > Preferências > Java Script e desmarcando a caixa de verificação correspondente.
Note que a adoção dessas providências pode impedir a visualização de diversos conteúdos (dentre os quais animações, filmes e páginas dinâmicas) e a transmissão de alguns formulários e outros que tais, mas você pode modificar as configurações a qualquer tempo, sempre que necessário – embora isso dê um pouco de trabalho, a camada extra de segurança paga a pena.
Um ótimo dia a todos e até a próxima.

Barbas de molho e humor de sexta-feira

Compras online e Net Banking são apenas dois exemplos das inúmeras comodidades que implicam riscos consideráveis para os usuários. Saques, pagamentos e operações que tais feitas em máquinas tipo “Banco 24 horas” também são potencialmente perigosas: segundo Barnaby Jack – hacker “do bem” que atua como uma espécie de consultor de segurança virtual –, o setor bancário tem muito chão pela frente para proteger seus equipamentos. Durante sua palestra na Black Hat, o hacker se conectou a um caixa eletrônico, executou um programa denominado Jackpot e obteve uma quantidade significativa de notas, enquanto a palavra “Jackpot” era exibida na tela. Em seguida, ele caminhou até a máquina, invadiu seu sistema com uma senha obtida pela internet e modificou o firmware, garantindo acesso remoto e a possibilidade de coletar dados dos infelizes usuários (Jack assegurou ainda que uma única chave é capaz de abrir diversos caixas eletrônicos).
Barbas de molho, pessoal.

Passemos agora ao nosso tradicional humor de sexta-feira:

Veja como é fácil aprender outros idiomas:

a.) Is we in the tape! = É nóis na fita.
b.) Tea with me that I book your face = Chá comigo que eu livro sua cara.(essa é SEN-SA-CI-O-NAL !!!!! )
c.) I am more I = Eu sou mais eu.
d.) Do you want a good-good? = Você quer um bom-bom?
e.) Not even come that it doesn't have! = Nem vem que não tem!
f.) She is full of nine o'clock = Ela é cheia de nove horas.
g.) I am completely bald of knowing it. = To careca de saber.
h.) Ooh! I burned my movie! = Oh! Queimei meu filme!
i.) I will wash the mare. = Vou lavar a égua.
j.) Go catch little coconuts! = Vai catar coquinho!
k..) If you run, the beast catches, if you stay the beast eats! = Se correr, o bicho pega, se ficar o bicho come!
l.) Before afternoon than never. = Antes tarde do que nunca.
m.) Take out the little horse from the rain = Tire o cavalinho da chuva.
n.) The cow went to the swamp. = A vaca foi pro brejo!
o.) To give one of John the Armless = Dar uma de João-sem-Braço.
Gostou? Quer ser poliglota? Na compra do 'The Book is on the table' você ganha inteiramente grátis o incrível The Book is on the table - World version!!!
Outras línguas:
CHINÊS
a.) Cabelo sujo: chin-champu
b.)Descalço: chin chinela
c.) Top less: chin-chu-tian
d.) Náufrago: chin-chu-lancha
f.) Pobre: chen luz, chen agua e chen gaz
JAPONÊS
a.) Adivinhador: komosabe
b.) Bicicleta: kasimoto
c.) Fim: saka-bo
d.) Fraco: yono komo
e.) Me roubaram a moto: yonovejo m'yamaha
f.) Meia volta: kasigiro
g.) Se foi: non-ta
h.) Ainda tenho sede: kero maisagwa
OUTRAS EM INGLÊS:
a.) Banheira giratória: Tina Turner
b.) Indivíduo de bom autocontrole: Auto stop
c.) Copie bem: copyright
d.) Talco para caminhar: walkie talkie
RUSSO
a.) Conjunto de árvores: boshke
b) Inseto: moshka
c.) Cão comendo donut's: Troski maska roska
d.) Piloto: simecaio patatof
e.) Sogra: storvo
ALEMÃO
a.) Abrir a porta: destranken
b.) Bombardeio: bombascaen
c.) Chuva: gotascaen
d.) Vaso: frask
Bom final de semana a todos.

Navegadores x Segurança e humor de sexta-feira

O advento dos browsers foi um dos grandes responsáveis pela difusão da Internet entre “usuários comuns”. As versões para Unix surgiram em 1991, mas o Navigator (lançado pela Netscape em 1994) foi o pioneiro na exibição de textos e imagens postadas em websites – e a ele se deve a consagração da expressão “navegar” como sinônimo de acessar páginas da Web.

Observação: Prefira sempre dizer “navegar na Web”, já que a Internet é uma rede física de computadores, e a Web, a sua porção multimídia.

O Navigator reinou absoluto até 1997, quando foi desbancado pela Microsoft, ao final de uma disputa que ficou conhecida como Guerra dos Browsers. De lá para cá, o IE vem reinando firme e forte, conquanto tenha perdido um bom espaço para a concorrência devido a seus famosos problemas de segurança. Mesmo assim, ele continua sendo uma boa opção: um estudo publicado pelo recentemente pelo US-CERT (equipe de prontidão para atender a emergências da computação) contabilizou 45 bugs de segurança no IE8 – contra 169 do Firefox, 94 do Safari e 41 do Chrome.
Claro que um programa com centenas de erros descobertos e corrigidos prontamente será sempre mais seguro do que outro que apresente uma falha crítica persistente. No entanto, segundo um levantamento feito pela Symantec com base no ano de 2009, o prazo médio para correções de brechas no IE e no Firefox foi inferior a 24 horas, enquanto que os usuários do Chrome precisaram esperar cerca de dois dias, e os do Safari, até duas semanas!
Não é minha intenção puxar a brasa para a sardinha de quem quer que seja. Pessoalmente, gosto muito do IE8, embora utilize também o Chrome. Aliás, a escolha de qualquer programa (aí incluído o próprio Sistema Operacional) depende em grande parte das preferências pessoais de cada um. Por outro lado, como a segurança do navegador (qualquer que seja ele) requer atualizações constantes, inclusive de seus plug-ins (ActiveX, Java, Adobe Reader e Flash são pródigos em falhas críticas), é imperativo rodar regularmente o  Secunia OSI e instalar as respectivas correções tão logo elas sejam disponibilizadas.
Vale lembrar que o IE é um componente padrão do Windows – e considerando que 70% dos computadores vendidos no Brasil, no primeiro trimestre deste ano, vieram com o Windows pré-instalado –, não é difícil entender a razão pela qual ele é o mais visado por crackers, cybercriminosos e assemelhados.
Para concluir, se você usa o IE6 ou o IE7 (que não mais suportados pela Microsoft), está mais do que na hora de atualizá-lo para a versão atual. Para os mais afoitos, o IE9 Beta já está disponível (mais detalhes e link para download no Blog do seu PC).

Passemos agora à nossa tradicional piadinha de sexta-feira:

Mariazinha, irmã do Joãozinho, estava tendo a sua primeira (e precoce) menstruação, aos nove anos de idade. Em desespero, já em prantos, ele pede auxílio ao irmão, pois a mãe tinha ido às compras.
- Joãozinho, Joãozinho, socorro, me ajuda!
- O que foi?!
- Olha só! Estou sangrando! Não sei por quê...
Joãozinho, muito prestativo, abaixa-se diante da irmã para examinar o local do "evento". Após alguns instantes de detida análise, do alto dos seus 7 anos de idade, ele declara, apavorado:
- Puta merda! Teu pinto caiu!!!!

Bom final de semana a todos.

Bugs em softwares

Em meus primeiros escritos sobre segurança, falando nas vulnerabilidades do Windows NT – que os linuxistas de plantão apelidaram maldosamente de “Nice Try” (boa tentativa) ou de “colcha de retalhos” (por conta dos constantes remendos incorporados ao código original do sistema) – eu já dizia que nenhum software está livre de apresentar bugs, falhas e vulnerabilidades, e, paralelamente, aplaudia a Microsoft pela preocupação que ela demonstrava em desenvolver e disponibilizar as devidas correções para os usuários de seus produtos.
Esse contexto me volta agora à memória por conta de uma matéria que li recentemente na PC World americana, segundo a qual tanto a Adobe quanto a Microsoft (tidas como campeãs em número de bugs identificados em seus produtos) não avisam sobre todas as vulnerabilidades de segurança que corrigem em seus pacotes de software. Essa falta de transparência veio à tona recentemente graças a uma empresa chamada Core Security Technologies, que, após estudar as correções MS10-024 e MS10-028, notou três correções que não tinham sido divulgadas. Aliás, a Adobe também tem “ficado na moita” em relação a correções de vulnerabilidades internas, usando números de CVE somente para bugs ativamente explorados ou relatados por pesquisadores externos (correções de brechas que ela tenha encontrado por si mesma são consideradas simplesmente como “melhorias de código”).
Ainda segundo a matéria, silenciar sobre atualizações de segurança traz conseqüências, pois os desenvolvedores e pesquisadores têm usado contagem de CVEs (mais informações em http://cve.mitre.org/) para mensurar a segurança de diferentes aplicações e sistemas operacionais. No entanto, existem várias maneiras de medir segurança, e a contagem de vulnerabilidades é somente uma delas (a comparação do número de vulnerabilidades por linha de código de software, por exemplo, oferece outra métrica).
Já a Microsoft, por seu turno, entende que a discussão sobre a contagem de vulnerabilidades distrai os pesquisadores da correção das falhas. Segundo a empresa, quando uma falha reportada se desdobra em 200 bugs relacionados, e a mudança de uma simples linha de código bloqueia todos os problemas potenciais, interpretar isso como a correção de uma ou de 200 vulnerabilidades é uma questão eminentemente subjetiva, e que gastar tempo fazendo a contabilidade correta implica postergar a obtenção de soluções para proteger os consumidores.
Enfim, como diz um velho ditado, “em casa onde falta pão, todos gritam e ninguém tem razão”.
Tenham todos uma ótima semana.

Ainda a Privacidade

A popularização da Internet trouxe à baila diversas questões relativas à segurança e privacidade dos dados dos usuários, conforme, aliás, já comentamos em outras postagens. Por conta disso, tão indispensável quanto manter atualizado e bem configurado o seu arsenal de defesa (antivírus, firewall, antispyware, etc.) é estar sempre alerta e habituar-se a usar de bom senso. Confira algumas considerações e dicas a propósito desse tema:
Certos modelos de copiadoras digitais e impressoras mantêm cópias de tudo o que produzimos num disco rígido ou módulo de memória flash. Assim, quando as revendemos ou doamos sem eliminar essas informações, quem “herdar” o aparelho poderá acessá-las facilmente. Ainda em relação a impressoras e copiadoras, convém evitar copiar documentos pessoais no trabalho, já que, caso a máquina esteja em rede, será simples para o administrador xeretar o que foi xerocado (sem falar que as senhas padrão para copiadoras em rede podem ser facilmente encontradas na Web).

A maioria dos browsers integra uma opção de privacidade que supostamente permite navegar sem deixar rastros, mas não esconde as páginas e imagens de anunciantes que desejam veicular anúncios sob medida – ou de bisbilhoteiros como detetives privados e agentes da lei. Para piorar, os "Flash cookies" (nova geração de cookies mantidos pelo plugin Adobe Flash por causa dos aplicativos Flash embutidos em páginas da Web) não expiram e ficam armazenados fora do controle do navegador, de modo que você não pode vê-los ou excluí-los diretamente. Então, escolha uma boa política de cookies para seu navegador (como deletá-los a cada sessão de navegação, por exemplo) ou aprove-os individualmente. Se você usa o Firefox, uma boa idéia é instalar o add-on  BetterPrivacy , que extermina os Flash cookies.

Para quem é adepto a redes sociais, vale lembrar o Facebook tem mais de 50 botões de privacidade, levando a mais de 170 escolhas. Para minimizar os danos, no caso de você não apertar o botão certo, evite aceitar convites de app de pessoas desconhecidas (e se o software parecer suspeito, não custa nada verificá-lo usando a busca do Facebook). Vale lembrar também que sua data de nascimento completa (dia, mês, ano) pode ser informação suficiente para um cracker habilidoso fazer sérios estragos na sua conta bancária, de modo que convém não incluir esse tipo de informação em seu perfil (pela mesma razão, não divulgue seu endereço residencial e número de telefone). Classifique as pessoas em grupos conforme o grau de conhecimento e só permita acesso aos dados de sua página àquelas que forem realmente confiáveis.

Amanhã a gente conclui.
Bom dia a todos e até lá.

Dicas interessantes...

Recebi as dicas abaixo de um leitor, e achei que seria interessante publicá-las.
Confira:

Serviço 102 (Informações):
Quando você precisar do serviço 102, cuja chamada custa R$ 2,05, lembre-se de que existe um serviço concorrente que cobra apenas R$ 0,29 por informação. Caso queira utilizá-lo, disque 0300-789-5900. Para informações da lista telefônica, disque 102030, que não é tarifado, ao contrário dos 102 e 144, que são pagos (e caros).
OBSERVAÇÃO: Embora uma chamada para 102 seja tributada quando realizada a partir de uma linha particular, você pode fazê-la gratuitamente (sem usar cartão) de qualquer telefone público.

Chamadas telefônicas de fixo para celular
Se você ligar de um telefone fixo para um celular, a operadora tributará a chamada com uma tarifa maior do que a cobrada de fixo para fixo, mas basta repetir o último algarismo do número chamado para que a ligação seja cobrada com base na tarifa comum. Exemplo: para 9xxx-2532, disque 9xxx-25322; para 9xxx-1148, dique 9xxx-11488.
OBSERVAÇÃO: Não sei se essa informação procede ou se é apenas mais uma “lenda urbana”, mas não custa nada tentar (o jeito é nos lembrarmos de fazer isso quando ligarmos para celulares durante determinado período e, no final do mês, conferir se os números aparecem discriminados na fatura).

Correios:
Se você tem por hábito de escrever cartas e enviá-las pelo Correio, saiba que uma missiva com uma ou duas folhas, se postada de pessoa física para pessoa física num envelope simples (para qualquer localidade do País) contendo a observação “Carta Social” (escreva-a bem abaixo do CEP) custa apenas R$0,01 (um centavo de real). Isso está nas Normas afixadas nas agências dos correios, mas em letras miúdas e de difícil visualização.
OBSERVAÇÃO: Eu experimentei e deu certo. O difícil é comprar selos desse valor (só em agências do correio, e olhe lá) para poder despachar as cartas através das caixas coletoras.

Home Banking
Ao realizar serviços bancários pela internet, verifique a autenticidade do site:
1- Minimize a página. Se o teclado virtual também for minimizado, está correto; se ele permanecer do mesmo tamanho, é fria!
2- Digite primeiramente uma senha inválida e veja se aparece uma mensagem de erro (a webpage do Banco tem como checar as informações de login, ao contrário das páginas falsas, cujo objetivo é apenas capturar a senha).
3- Ao dar duplo clique sobre o pequeno cadeado, no rodapé da página, uma janela com informações sobre a autenticidade do site deverá ser exibida (em algumas páginas piratas, o cadeado até aparece, mas nada acontece quando você clica duas vezes sobre ele).
OBSERVAÇÃO: Faz sentido. Cautela e canja de galinha...

Bom dia a todos e até mais ler.