RANSOMWARE ― Conclusão

O MORTO ESQUECIDO É O ÚNICO QUE REPOUSA EM PAZ.

Dando continuidade ao que vimos no post anterior, a melhor defesa contra o ransomware – e os malwares em geral ― é evitar que ele “entre” no sistema. Afinal, já disse alguém bem mais sábio que é sempre melhor prevenir do que remediar. 

Então, a despeito do que (ainda) afirmam alguns abilolados, é fundamental manter o Windows atualizado (ou seja, instalar TODOS os patches críticos e de segurança; mesmo que sempre existe o risco de alguma atualização ser malsucedida e causar eventuais transtornos, é melhor pecar por ação do que por omissão), migrar sempre para a versão mais recente dos aplicativos (que, em tese, são mais seguras) e, não menos importante, manter o arsenal de ferramentas de segurança ativo, operante e adequadamente configurado.

Pare evitar o estágio de infeção, é recomendável criar uma conta de usuário com poderes limitados (mesmo que ninguém além de você use seu PC) e utilizá-la no dia-a-dia, deixando a todo-poderosa conta de Administrador do sistema para situações em que ela seja realmente indispensável. Vale ainda usar uma ferramenta de sandbox, que irá executar em os arquivos suspeitos num ambiente confinado, de maneira a evitar eventual contaminação.

Para a fase de comunicação, é recomendável utilizar firewalls de rede e outros aplicativos de segurança capazes de bloquear ― ou, no mínimo, alertar para ― domínios maliciosos. Outra dica é bloquear o acesso ao TOR ― sistema de comunicação anônima via Internet que visa, dentre outras coisas, resguardar a privacidade dos usuários ―, já que o ransomware se vale desse recurso para ensombrar as comunicações do servidor de controle (o ataque será bloqueado se o programinha malicioso não puder estabelecer o controle e/ou recuperar a chave de criptografia pública necessária para a criptografia assimétrica).

Para saber mais sobre ransomware, clique aqui.

A POLÊMICA DO FORO PRIVILEGIADO

A Operação Metis reacendeu o debate sobre o foro privilegiado ― mecanismo que concede a “certas autoridades” o direito de ser processadas e julgadas em tribunais superiores, em vez de pela justiça comum (em primeira instância), como acontece com os mortais comuns.

Embora afronte o princípio constitucional da igualdade, o foro especial por prerrogativa de função (esse é nome correto) foi instituído para proteger o exercício de função ou mandato público, de modo que protege a função, não a pessoa, que perde o direito a foro especial ao deixar de exercer o cargo que o assegura ― ex-deputados, por exemplo, não possuem foro especial).

Observação: Governadores são julgados pelo Superior Tribunal de Justiça; prefeitos, pelos Tribunais de Justiça estaduais; membros dos tribunais superiores, do Tribunal de Contas da União e embaixadores, pelo STF; desembargadores dos Tribunais de Justiça, membros de Tribunais de Contas estaduais e municipais, membros de Tribunais Regionais e juízes Federais, do Trabalho, juízes Militares, pelo STJ; e os Procuradores da República, pelos Tribunais Regionais Federais.

O foro privilegiado também está presente em outros países, mas em nenhum deles é estendido a tantos indivíduos quando no Brasil. E como os processos são julgados diretamente nas instâncias superiores, a investigação é supervisionada pela PGR, que os analisa com base em dados levantados pela PF e decide se apresenta, ou não, uma denúncia formal ao Supremo. Caso afirmativo, cabe aos ministros decidir pela abertura, ou não, da competente ação penal. Todavia, o STF foi estruturado para julgar recursos, não para analisar provas de um processo nem para receber denúncias, e isso torna a tramitação das ações lenta e ineficaz, na medida em que aumenta significativamente as chances de impunidade.

Segundo levantamento feito pela revista Exame em 2015, de 500 parlamentares que foram alvo de investigação ou ação penal no STF nos últimos 27 anos, apenas 16 foram condenados; destes, 8 foram presos, e destes, apenas um continua no xadrez (os demais ou recorreram, ou se beneficiaram da prescrição para se livrar dos processos).

Observação: Enquanto o STF julga cerca de 100 mil casos ao ano, a Suprema Corte dos Estados Unidos julga 0,1% desse montante (cerca de 100 casos por ano). 

A discussão sobre a prerrogativa de foro voltou à baila com a Lava-Jato, notadamente depois de Lula ser nomeado ministro-chefe da Casa Civil por Dilma, em março passado, para recuperar a prerrogativa de foro que havia perdido ao deixar o Planalto (felizmente, com o afastamento da mulher sapiens, o petralha nunca chegou a tomar posse).

Voltando agora à questão da Polícia do Senado: Para Carlos Ayres Britto, o ministro Teori Zavascki agiu corretamente ao suspender a Metis, pois as pessoas rastreadas contavam com prerrogativa de foro, sendo necessário, portanto, o aval do STF para a operação. Vale frisar que Zavascki tomou a decisão em juízo preliminar e monocrático ― ou seja, ainda não houve discussão do mérito pelo plenário da Corte.

Para Cláudio Lamachia, presidente da OAB, o foro privilegiado "não prioriza a celeridade e deveria ser drasticamente reduzido" ― aliás, esse tema deverá ser discutido em breve pelo Conselho Federal da entidade. Já o advogado Luís Henrique Machado, que tem Renan Calheiros entre seus clientes no STF, entende que "em alguns momentos o Supremo tem que saber aguardar, mesmo que todo mundo esteja querendo sangue" (ele não fala especificamente sobre a denúncia contra o peemedebista por crimes de peculato, falsidade ideológica e uso de documento falso, que se arrasta desde 2013, mas alfineta o MPF, denunciante do seu cliente, afirmando que o ministério público “deveria evitar que qualquer espirro já vire um pedido de pré-investigação ao Supremo".

Na avaliação de João Ricardo dos Santos Costa, presidente da Associação dos Magistrados Brasileiros ― que também desaprova o foro privilegiado ―, “o ministro Zavascki está rigorosamente em dia com os processos da Lava-Jato. Em comparação com a Ação Penal 470 (mensalão), que ficou tramitando cinco anos antes de ir a julgamento, o andamento está até mais rápido”. Para ele, a morosidade do STF se deve mais aos ritos processuais obrigatórios do que à celeridade dos gabinetes.

Observação: O ministro Teori Zavascki, relator da Lava-Jato, tinha em seu gabinete, 7.358 processos ― 249 deles penais. São 13 ações penais, uma extradição, 170 habeas corpus, e 65 inquéritos. A Lava-Jato é só uma parte desse pacote.

Levantamento da Folha revela que existem no Supremo 84 ações contra 53 deputados e senadores, que, na média, estão há sete anos e oito meses sem um desfecho. Dessas, 22 estão em andamento há mais de dez anos, 37 superam seis anos e 4 ultrapassam quinze anos sem decisão final. Na Lava-Jato, 22 casos já receberam sentença do juiz Sergio Moro ― com tempo médio de um ano e seis meses; basta fazer um simples cálculo aritmético para concluir que os processos no âmbito 13ª Vara Federal de Curitiba levam um quinto do tempo que os de foro privilegiado no Supremo demoram para ser jugados. E como a longa tramitação abre risco de prescrição das penas, quando então a PGR pede a extinção da ação porque o parlamentar não poderia ser mais condenado em razão do tempo da pena prevista em eventual condenação, são jogados no lixo anos de recursos públicos gastos na apuração de supostos crimes.

Observação: A pedido da Folha, o STF enviou lista de outros 13 processos que recentemente receberam sentença, mas ainda estão tecnicamente em andamento. Entre eles, está o do mensalão, em fase de cumprimento de pena. O tempo médio que os 13 levaram, considerando o início da investigação em outras instâncias, foi de oito anos e dez meses. Em nota à reportagem, a PGR defendeu a rediscussão do foro privilegiado e considera até mesmo sua extinção. 

Confira minhas atualizações diárias sobre política em www.cenario-politico-tupiniquim.link.blog.br/

DE OLHO NO RANSOMWARE

AQUELE QUE SE EMPENHA EM RESOLVER AS DIFICULDADES RESOLVE-AS ANTES QUE ELAS SURJAM. AQUELE QUE SE ULTRAPASSA A VENCER OS INIMIGOS TRIUNFA ANTES QUE AS SUAS AMEAÇAS SE CONCRETIZEM.

O termo RANSOMWARE (ransom = resgate) designa uma modalidade de ataque digital que criptografa arquivos e pastas (ou o HD inteiro) da vítima e estipula um resgate (a ser pago em bitcoins) para liberar o acesso.

Segundo Marcus Almeida, gerente de Inside Sales & SMB da Intel Security, essa técnica, conhecida desde os anos 1990, aumentou 169% em 2015 ― com quase 6 milhões de casos identificados mundo afora ― por conta da impossibilidade de rastrear as moedas virtuais e do expressivo aumento da oferta de pacotes de “Ransomware as a Service” na deep web (submundo da internet).

Os ataques ― que podem ser direcionados tanto a consumidores quanto a empresas de todos os portes ―, se subdividem em seis etapas. Na primeira (distribuição), os cibercriminosos se valem do phishing scam (variação mal-intencionada do spam) para disseminar o binário malicioso através de links fraudulentos, anexos de email ou downloads feitos a partir de sites comprometidos, e a despeito da profusão de informações alertando contra o phishing, um em cada quatro destinatários abre as mensagens e, desses, um em cada 10 segue o link ou acessa o anexo suspeito.

O segundo passo é a infecção. O binário chega ao computador do usuário e realiza procedimentos não raro sofisticados para levar adiante seus propósitos maliciosos. Apenas pra que se tenha uma ideia, o CryptoWall 3 gera um identificador de computador exclusivo, certifica um “reboot de sobrevivência” mediante a instalação de um programinha que é executado durante a reinicialização, desativa cópias e sistemas de reparação e recuperação de erro do Windows, neutraliza programas de defesa, invade o explorer.exe e o svchost.exe e recupera o endereço IP externo.

O terceiro passo é a comunicação, quando a praga se comunica com os servidores de chave de criptografia para obter a chave pública necessária à encriptação dos dados; o quarto é a pesquisa de arquivos ― quando o ransomware busca arquivos importantes e que não possam ser facilmente replicados, como os de extensões .jpg, .docx, .xlsx, .pptx, e .pdf; o quinto é a criptografia, quando o malware move e renomeia os arquivos e os torna inacessíveis; e o último é o pedido de resgate, que geralmente se dá mediante a exibição de um aviso, na tela da máquina infectada, exigindo “x” bitcoins em troca da chave que “destranca” os arquivos sequestrados.

Note que saber como funciona um ataque de ransomware é essencial para criar estratégias capazes de barrar a ação da praga antes que ela consiga criptografar seus dados. Amanhã eu conto o resto. Até lá.

Para surpresa geral ― e desgosto de muitos, e não só nos EUA ―, a democrata Hillary Clinton acabou derrotada pelo republicano Donald Trump, numa eleição que visava escolher o candidato “menos pior” (situação, aliás, com a qual o eleitor tupiniquim está mais que acostumado). Só que Trump não era o menos pior: a mera possibilidade de sua vitória derrubou o mercado futuro em Dow Jones e bolsas na Ásia (na abertura do pregão pela manhã no continente) e derrubou a cotação do peso mexicano ao valor mais baixo de sua história. Mesmo que o porra-louca tenha abrandado seu discurso de campanha, dizendo agora que “é hora de nos unirmos como um povo só. Prometo que serei o presidente para todos os EUA. Vamos renovar o sonho americano. Nosso país tem um tremendo potencial. Nossos homens e mulheres não serão mais esquecidos”, é difícil prever que bicho vai dar. Volto ao assunto com mais vagar em outra oportunidade. Agora, meu pitaco político de hoje:

A LAVA-JATO, COMAROFF E OS CAMARADAS

Na última sexta-feira, 4, a FOLHA publicou uma entrevista com John Comaroff, antropólogo marxista de Harvard, que defende o afastamento de Sergio Moro dos processos contra Lula. Esse luminar sul-africano de sobrenome eslavo avalia que Lava-Jato viola a lei para criar “presunção de culpa” do ex-presidente, razão pela defende a substituição do juiz Sergio Moro para dirimir questionamentos sobre sua isenção nas ações que pesam contra o petista.

“Eu estou tentando entender o caso. Meus colegas aqui em Harvard não conseguem compreender. Há fatos que perturbam a audiência internacional”, afirmou a sumidade. E concluiu: “O país possui um sistema legal robusto. Não há necessidade de se violar a lei”.

A reportagem qualifica o entrevistado como “especialista em lawfare, termo definido pelo uso da lei para fins políticos, que vem sendo consultado pelos advogados de Lula”. Na verdade, ele deixou bem clara sua postura de consultor da defesa ― e que, portanto, que tem lado. Em teoria, ele pode até ser remunerado por sua tentativa de criminalizar a Lava-Jato.

Isso é pressfare, termo definido pelo uso da imprensa para fins políticos. Mas pode esperar que o bando vermelho vai aplaudir. Viva a boçalidade.

Confira minhas atualizações diárias sobre política em www.cenario-politico-tupiniquim.link.blog.br/

SENHA 100% SEGURA É CONVERSA PARA BOI DORMIR. AINDA ASSIM...

A PROCTOLOGIA É A ÁREA DA MEDICINA ONDE MAIS SE VÊ A INCLUSÃO DIGITAL.

No âmbito da segurança digital, uma das recomendações mais comuns é a criação de senhas “seguras”, assim compreendidas as que integram pelo menos 8 caracteres e combinam letras maiúsculas e minúsculas com algarismos e caracteres especiais (tipo #, *, &, etc.). Todavia, isso costuma ser complicado quando usamos smartphones sem teclados físicos, tablets ou outros dispositivos em que é preciso alternar entre as várias formas de exibição do teclado virtual para grafar letras maiúsculas, algarismos, sinais gráficos e outros símbolos.

Para evitar esse “desconforto”, muita gente se vale de frases-senhas ou das primeiras sílabas de um verso ou de uma canção, por exemplo ― como oudoiasmarpla, de “ouviram do Ipiranga as margens plácidas”), já que essa permite criar palavras-chave relativamente seguras e fáceis de memorizar. Mas vale lembrar que é desconfortável digitar senhas longas em telas sensíveis ao toque (Touch Screen), e que, hoje em dia, é mais comum a bandidagem digital capturar as senhas através do phishing scam do que de programinhas que as descobrem por “força-bruta” (testando exaustivamente todas as combinações possíveis) ― situação em que uma senha especialmente longa ou complexa não oferece mais proteção do que outra mais simples e com menos caracteres.

Algumas empresas aconselham seus funcionários a trocar as senhas mensalmente, mas isso não aprimora a segurança, já que, no mais das vezes, os usuários acrescentam ou substituem um ou dois caracteres. Os gerenciadores de senhas também são bastante utilizados, mas quase sempre resultam apenas em mais uma palavra ou frase secreta a ser memorizada. Uma solução cada vez mais adotada por diversos sites, inclusive de bancos, é a autenticação em duas etapas, na qual uma delas é realizada a partir do telefone celular. Isso garante uma camada adicional de segurança, mas os usuários nem sempre a veem com bons olhos, já que dá mais trabalho e retarda o processo de autenticação.

Convém jamais utilizar senhas que dão acesso a serviços importantes ― como a do banco online, por exemplo ―  no webmail ou em foros de discussões, também por exemplo, até porque nem todos os sites protegem os dados como deveriam. Demais disso, não custa seguir algumas regrinhas simples ― mas funcionais ― que a gente já discutiu em dezenas de postagens aqui no Blog (para saber mais, digite senha na caixa de pesquisa e confira os resultados). Dentre outras sugestões importantes, vale evitar criar senhas a partir da data de nascimento, placa do carro, número do telefone ou de documentos, nomes de familiares ou animais de estimação, bem como trocar as senhas periodicamente e, como dito, não recorrer à mesma senha para múltiplos fins ― e por mais trabalhoso que seja, optar sempre que possível pela autenticação em duas etapas. Afinal, ainda que não existam senhas 100% seguras, quanto mais você dificultar a ação dos malfeitores, melhor.

Por hoje é só, pessoal. Até a próxima.

SCAM E OUTRAS FRAUDES DIGITAIS. FIQUE ESPERTO!

JÁ ESTAMOS DEZEMBRO! NESSA TOADA, O HADDAD AINDA VAI CONSEGUIR MULTAR O TEMPO POR EXCESSO DE VELOCIDADE!

Atire o primeiro mouse quem nunca recebeu um email solicitando o recadastramento da sua senha e outros dados pessoais atrelados à sua conta, mesmo não sendo correntista do Banco remetente, ou então com links ou anexos que trazem “provas cabais” de uma traição, um formulário a ser preenchido para receber o prêmio de um concurso do qual jamais participou, e assim por diante.

Mensagens como essas, que se valem da boa e velha Engenharia Social para manipular as pessoas, são conhecidas como PHISHING SCAM (variação mal-intencionada do SPAM). A abordagem varia conforme a criatividade do embusteiro, mas o propósito é sempre o mesmo: tirar proveito da boa-fé, da inocência ou da ganância (por que não?) dos incautos.

Observação: Outro golpe comum se vale de sites de relacionamento, onde os estelionatários criam perfis falsos para fisgar as vítimas pelo lado afetivo, e tão logo conquistam sua confiança, pedem dinheiro para fazer frente a um imprevisto qualquer ou custear a viagem na qual irão finalmente conhecer o(a) amante virtual. E como não existe ferramenta de segurança “idiot proof” a ponto de proteger os “vacilões” de si mesmos, o número de pessoas que caem nesses “contos do vigário” é bastante significativo.

O lado bom da história — se é que há um lado bom nessa história — é que mensagens de SCAM costumam trazer erros crassos de ortografia e gramática, além de (supostamente) provirem de instituições financeiras, órgãos como SERASA, SCPC, Justiça Eleitoral, Receita Federais e outras mais que, como é público e notório, não enviam emails solicitando informações pessoais, muito menos com links ou anexos executáveis.

Então, fique atento para os URLs (sigla de Localizador Padrão de Recursos, em português), que costumam ser bem parecidos, mas não idênticos aos verdadeiros. Na dúvida, cheque o endereço com o auxílio de serviços online como o TRENDPROTECT, o URLVOID e o SUCURI (este último é mais indicado para LINKS ENCURTADOS) e varra os anexos com seu antivírus ou com o Vírus Total (que submete o arquivo ao crivo de mais de 50 ferramentas de segurança de fabricantes renomados).

Ainda que segurança absoluta seja “cantiga para dormitar bovinos”, é possível reduzir sensivelmente os riscos se você “confiar desconfiando”, como dizia meu velho avô. Desconfie até mesmo de mensagens recebidas de parentes ou amigos, pois existem pragas digitais se disseminam enviando emails para todos os contatos da lista de destinatários do usuário infectado. Além disso, substituir o remetente verdadeiro de uma mensagem de email por outro que inspire confiança (como a Microsoft, a Symantec, seu Banco ou um órgão público qualquer) não é exatamente uma “missão impossível”. Nas redes sociais, considere todo mundo suspeito até prova em contrário: talvez a gatinha que você encontrou semanas atrás numa “sala de bate-papo” ou numa rede social — e que se diz loucamente apaixonada por você — seja realmente quem parece ser (talvez ela nem seja “ela”).

Tenha em mente que nada nesta vida é de graça; o que cai do céu é chuva ou merda de passarinho. Caso você não resista à curiosidade de explorar melhor essas mensagens antes de enviá-las para a Lixeira, procure confirmar sua autenticidade através de algum meio que não seja a Web. A maioria dos golpistas não informa um endereço ou telefone no mundo físico — aliás, se houver um telefone para contato, jamais o utilize; ligue para o gerente do Banco, para a central de atendimento da loja ou prestadora de serviços (ou seja lá o que for) usando o número exibido no respectivo website (que você deve acessar digitando o URL na barra de endereços do seu navegador) ou em outro documento de que você disponha (contrato de prestação de serviços, formulário de pedido, nota fiscal do produto, etc.). Afinal, cautela e canja de galinha nunca fizeram mal a ninguém!

Amanhã a gente conclui, pessoal. Abraços e até lá.

MAIS SOBRE SEGURANÇA DIGITAL – PHISING SCAM, CRIMES DIGITAIS E CIA.

GOSTE DE SI MESMO. OS QUE NÃO GOSTAM DE VOCÊ NÃO SABEM O QUE ESTÃO PERDENDO.

Ensina o professor Sérgio Rodrigues que, na nossa cultura, é comum a gente dizer, equivocadamente: “Quem tem boca vai a Roma”. Ainda que esse adágio valorize quem não se envergonha de perguntar, a forma correta desse ditado é: “Quem tem boca vaia Roma”. A propósito, é justamente isso que as pessoas faziam em relação aos “deslizes” dos imperadores e as formas de governo que definhavam o império: vaiavam Roma... 

Em última análise, parece que o povo brasileiro tem muito o que aprender com os antigos romanos. Ou não???

Segurança é o mote deste Blog, e se eu a revisito regularmente, não o faço por falta de assunto, mas para

deixar os leitores atualizados e familiarizar os recém-chegados com uma questão altamente relevante, ainda que bastasse inserir os termos-chave adequados no nosso campo de buscas para localizar centenas de remissões (dentre as quase 1.900 postagens já publicadas) envolvendo o tema em pauta.

Passando ao que interessa, o PHISHING é uma modalidade de SPAM voltada ao ESTELIONATO DIGITAL, que se vale da ENGENHARIA SOCIAL (conjunto de técnicas que exploram a inocência, ingenuidade ou confiança das pessoas) para levar os incautos a abrir anexos suspeitos ou clicar em links mal intencionados. Para emprestar credibilidade às mensagens, os cibercriminosos imitam o visual de um site acima de qualquer suspeita (como o do seu Banco, de uma rede social em voga, do seu provedor de internet, do fabricante do seu antivírus, e por aí vai), mas se você fizer uma análise criteriosa, irá encontrar indícios de maracutaia (tais como erros ortográfico/gramaticais ou URLs parecidas, mas não idênticas às das páginas legítimas – como https://www.youtobe.com/watch?v=bdKIDaig_7w, por exemplo).

Observação: Os três navegadores mais populares atualmente (Chrome, IE e Firefox) incluem sistemas de navegação segura, mas há diversas maneiras de aprimorar essa proteção (para mais detalhes, clique aqui).

No mais das vezes, o risco não está em abrir os emails, mas sim em rodar os executáveis a eles anexados ou clicar nos links integrados ao corpo de texto das mensagens. Embora seja possível instalar programinhas maliciosos mediante a exploração de vulnerabilidades no sistema operacional, navegador e demais aplicativos que tenham acesso à Internet, a maioria dos ataques conta com a participação ativa das vítimas.

Observação: Descarte de imediato qualquer email que dê conta de que você ganhou na loteria, herdou uma fortuna de um ditador nigeriano, precisa fazer ajustes na declaração de imposto de renda, está negativado na praça,, sendo chifrado pelo cônjuge, precise recadastrar sua conta, token ou evitar o cancelamento do CPF, TÍTULO DE ELEITOR ou outros documentos que tais. Saudações “genéricas” (tipo “olá”, “oi”, “caro amigo”, etc.) sugerem maracutaias, da mesma forma que erros de digitação, ortografia, gramática, concordância e frases com letras ou palavras faltando (mesmo que os vigaristas digitais venham se esmerando na redação, esses “deslizes” ajudam a burlar a fiscalização dos filtros anti-spam). 

O ideal seria que seu antivírus bloqueasse esses emails, mas como isso não acontece em todos os casos, salve os anexos na sua Área de Trabalho e fiscalize-os manualmente (clique com o botão direito e selecione a opção respectiva). Na dúvida, obtenha uma segunda opinião com serviços online de confiança (para mais detalhes, clique aqui) e ateste a legitimidade dos links com o TRENDPROTECT, o URLVOID e o SUCURI (este último é mais indicado para LINKS ENCURTADOS).

Observação: Falando em links, verifique sempre para onde eles apontam pousando o ponteiro do mouse sobre cada um deles e checando o endereço exibido na barra de status do navegador (se observar um “@” no meio do link, fique esperto: empresas idôneas utilizam domínios próprios, tipo https://www.empresa.com.br, e ainda que o link contenha algo sugestivo – como “bancobrasil”, “playboy”, “receitafederal” –, isso não basta para que você o tome por legítimo).

Redobre os cuidados diante de banners ou janelinhas pop-up dando conta de que seu browser está desatualizado, que é preciso instalar um componente qualquer para visualizar determinada página, ou que seu sistema está infectado ou repleto de erros críticos. Nessas circunstâncias, jamais clique no “X” ou em qualquer outro botão com a inscrição “Fechar”, “Sair” ou “Cancelar”, pois isso costuma disparar a instalação do código malicioso. Em vez disso, tecle ALT+F4 ou feche a aba que exibe a página em questão – ou, melhor ainda, encerre o navegador.

Suspeite de sites que se ofereçam para atualizar o Adobe Flash, o Java, ou outros complementos do seu browser. Se necessário, faça a atualização manualmente ou, melhor ainda, execute o Secunia OSI semanalmente e instale o UPDATE CHECKER, que o avisa quando existem atualizações/novas versões de drivers, add-ons e aplicativos. Demais disso, habilite as atualizações automáticas do Windows (para mais detalhes, clique aqui, e aproveite o embalo para obter informações adicionais clicando aqui e aqui).  

Um ótimo dia a todos e até mais ler.

NAVEGAÇÃO IN PRIVATE (SIGILOSA)

Amigo reconciliado, inimigo dobrado.

Quem acompanha nossas postagens sabe da importância de atualizar regularmente o sistema, seus componentes e demais aplicativos (para mais informações, clique aqui e aqui). Igualmente útil – embora quase sempre ignorada pelos usuários  – é a navegação in private, que evita o armazenamento de arquivos temporários, dados de formulários, cookies, informações de login e entradas no histórico de navegação (no IE, clique em Segurança/Navegação InPrivate; no Chrome, clique em Ferramentas/Nova janela anônima; no Firefox, clique em Tools/Private Browsing).

OBSERVAÇÃO: Sempre faça logoff antes de realizar suas buscas no Google; se você estiver logado, seu e-mail será exibido no canto superior direito da página inicial do buscador, das páginas de resultado ou de qualquer página do Google que você acessar. Note, porém que o logoff evita a associação direta entre você e suas buscas, mas não a associação entre seu IP e outras informações. Para prevenir isso, torne sua navegação anônima usando ferramentas como o  TOR  ou o ANONYMIZER.

Lembre-se de que anúncios, contadores de páginas, animações, ferramentas de comentários e adições similares podem proporcionar ganhos financeiros e deixar o site mais charmoso, mas também facilitam a distribuição de códigos maliciosos e a ação de invasores (cautela e canja de galinha...).

Abraços e uma ótima semana a todos..

SPEAR PHISHING e distinta companhia

Para concluir esta tríade sobre segurança digital, vale alertar para o SPEAR PHISHING – variação do SCAM que traz saudação personalizada (tipo “Olá, fulano” em vez de “Prezado Senhor”) e alude a amigos comuns ou compras online, dentre outros artifícios que buscam impelir a vítima a baixar a guarda e fornecer mais facilmente os dados solicitados (senhas bancárias e números de cartões de crédito, na maioria dos casos).

Surpreso? Então saiba que qualquer pessoa (sem prodígios de magia ou colaboração do sobrenatural) pode descobrir facilmente seu email, endereço, número de telefone e outros dados “particulares” a partir do perfil que você mesmo criou no Google, Orkut, Facebook e outras redes sociais ou lendo suas postagens no Blog ou no Twitter, por exemplo. E se o cara for realmente DO RAMO, bastam-lhe alguns trocados para acessar listas com milhares de nomes, números de RG e CPF de vítimas potenciais, bem como (pasmem!) alugar computadores ZUMBIS.

OBSERVAÇÃO: Se, por comodidade, você costuma usar a mesma SENHA para se logar no Windows, gerenciar seus emails, cadastrar-se em websites, fazer compras online e transações via net banking ou acessar seu Blog, é bom por as barbichas de molho. Falando em Blogs, evite que outras pessoas acessem seu espaço (caso seja realmente necessário, forneça-lhes uma senha provisória e cancele-a assim que possível), e tome cuidado ao utilizar recursos como COPIAR/COLAR – às vezes, você acaba importando algo indesejável junto com o texto (caso domine a linguagem HTML, vasculhe o código e suprima tudo que lhe parecer desnecessário, especialmente arquivos com extensões .PHP ou .EXE).

Determinados programas (bots) criados por cibercriminosos transformam os PCs infectados em “zumbis” – ou seja, fazem-nos desempenhar tarefas (geralmente criminosas) à revelia de seus legítimos usuários. Assim, criam-se verdadeiras hordas de “robôs”, que são alugadas para os mais variados fins, de ataques DDoS ao envio de SCAM (se seu computador estiver mais lento do que o normal – ou se você identificar mensagens incomuns na sua caixa de emails enviados –, atualize seu antivírus faça uma varredura completa).

Observação: Ataques DDoS consistem no envio de milhares de requisições simultâneas para um mesmo endereço visando causar instabilidades ou mesmo levar o site a parar de responder. Numa analogia elementar, seria como uma central PABX, que deixa de redirecionar as ligações para os ramais quando a demanda cresce a ponto de esgotar sua capacidade operacional.

Até a próxima.

BANNERS e SEGURANÇA DIGITAL

Embora tenham sido idealizados para exibir mensagens publicitárias e ajudar a manter a gratuidade da Web, BANNERS e JANELINHAS POP-UP também podem nos expor a vírus, spywares, roubos de identidade e outras ameaças que tais.

Segundo a Symantec, anúncios baseados em Flash – linguagem de programação que acrescenta animação e recursos interativos ao conteúdo – vêm sendo usados para induzir os internautas a baixar programas maliciosos ou redirecioná-los sites suspeitos (por exemplo, você acessa uma página qualquer e uma telinha informa que seu PC está infectado e oferece um link ou botão do tipo “clique aqui” para removê-lo; aí você clica, e está feita a caca).

Nem sempre é fácil separar o joio do trigo, mas você pode minimizar os riscos evitando navegar por sites suspeitos e fugindo imediatamente de qualquer página que não lhe pareça confiável (ato contínuo, faça uma varredura completa no sistema com seu antivírus).

OBSERVAÇÃO: Quando se fala em sites suspeitos, logo nos vem à mente conteúdo erótico, ferramentas para crackers, downloads ilegais, e por aí vai, mas, segundo a Symantec, o risco oferecido por sites com conteúdo religioso ou ideológico é três vezes mais que o dos pornográficos, pois estes últimos visam a lucros e, portanto, se esforçam para oferecer à clientela um espaço livre de malwares.

Da mesma forma que os emails de phishing, muitos banners se valem de ENGENHARIA SOCIAL para explorar a inocência, a curiosidade, a boa-fé ou a ganância das vítimas – ou seja, dão a corda e torcem para que elas se enforquem. Se você se interessar por um anúncio qualquer, digite o endereço do anunciante no seu navegador ou localize o site através do Google.

Observação: Cuidado com os SCAREWARES. Diante de pop-ups mais insistentes, tente fechá-los pela tecla Esc ou encerrar o navegador – em alguns casos nem, o simples acesso ao site já basta para descarregar o malware; em outros, clicar no “X” que deveria fechar a janelinha dispara a instalação do programinha malicioso.

Boa sorte e até amanhã.

VÍRUS, TROJAN, SPYWARE, PHISHING & CIA

Proteção absoluta contra Vírus, trojans, spywares, phishing e assemelhados é História da Carochinha, mas deixar a coisa correr solta, sem adotar qualquer medida de proteção, é dar sopa para o azar. Além de cultivar hábitos “saudáveis” de navegação, manter o sistema e os programas devidamente atualizados, dispor de um arsenal de proteção competente e seguir aquele elenco de regrinhas elementares – mas funcionais – que a gente vem repisando de tempos em tempos, uma boa ideia é trocar o servidor DNS padrão do seu serviço de banda larga pelo OpenDNS ou pelo Norton DNS, que cotejam os sites acessados com o conteúdo de suas “listas negras” e alertam o internauta sobre eventuais perigos.

Abraços e até a próxima.

Ainda a segurança...

As pragas eletrônicas, que de início se disseminavam através de disquetes contaminados, ganharam impulso com a popularização da Internet, e se a princípio eram “inocentes” (a maioria apenas pregava peças ou sustos no usuário do sistema infectado, reproduzindo sons estranhos ou exibindo mensagens divertidas ou pornográficas), logo se tornaram destrutivas e passaram a ser usadas pelos cibercriminosos em suas maracutaias. Um bom exemplo disso é o phishing (saiba mais digitando phishing no campo de buscas do Blog e clicando em “Pesquisar”), onde os golpistas exploram a curiosidade ou ingenuidade dos incautos para levá-los a clicar em links maliciosos e/ou abrir anexos idem. Ao clicar no link, o internauta é levado a um site malicioso e concitado a baixar e executar um programinha nocivo que irá monitorar sua navegação (inclusive senhas bancárias e números de cartões de crédito que ela teclar) ou redirecioná-lo para uma página clonada sempre que ele digitar o URL do seu Banco, por exemplo. E aí está feita a caca.

Observação: Dentre outros estratagemas comuns, a bandidagem costuma enviar e-mails alertando para o suposto cancelamento do CPF/Título Eleitoral da vítima, ou para pendências ou notificações judiciais – embora as tradicionais fotos “reveladoras” de artistas ou comprobatórias da infidelidade do(a) parceiro(a) também continuem sendo largamente utilizadas.

O número de incidentes de segurança vem crescendo assustadoramente. Segundo o CERT.br, as notificações de tentativas de fraude em 2011 aumentaram 30% em relação ao ano anterior, e as páginas falsas de bancos e sites de comércio eletrônico (phishing clássico), 62% e 78%, respectivamente. Para evitar dissabores, mantenha seu sistema e programas atualizados, instale um arsenal de defesa responsável (antivírus, firewall, antispyware, etc.), evite acessar sites de pornografia, crackers e distinta companhia e só faça downloads a partir de páginas confiáveis – saiba mais pesquisando o Blog com o termo-chave segurança.

Abraços a todos e até mais ler.

Seguro morreu de velho

Segundo o IDG, os recentes ataques desfechados contra o ITAÚ e o BRADESCO não representam riscos de vazamentos de dados e nem comprometem a segurança dos clientes que utilizam o Internet Banking.

Observação: Para quem não sabe, ataques DDoS consistem no envio de milhares de requisições simultâneas para um mesmo endereço, causando instabilidades ou mesmo levando o site a parar de responder. Numa analogia elementar, seria como uma central PABX, que deixa de redirecionar as ligações para os ramais quando a demanda cresce a ponto de esgotar sua capacidade operacional.

Vale relembrar que internautas relapsos com a segurança de seus sistemas acabam participando involuntariamente de botnets (redes que agregam milhares e milhares de computadores; para saber mais, clique aqui). No caso específico dos Bancos, é possível aprimorar a segurança substituindo o .com pelo .b ao digitar os respectivos URLs (por exemplo, banco.b.br em vez de banco.com.br). Como só podem ser usados por Bancos, esses domínios asseguram a legitimidade da página, embora algumas instituições ainda redirecionem o b.br para o com.br.

Para evitar dissabores, mantenha seu software atualizado, instale um arsenal de defesa confiável e jamais abra anexos ou clique em links que venham em e-mails de origem desconhecida ou que tenham sido supostamente enviados por instituições financeiras e órgãos governamentais (você encontrará dúzias de postagens sobre esse assunto  pesquisando o Blog a partir de termos como segurança, vírus, malware, spyware, trojan, phishing, etc.).

Cautela e canja de galinha...

Ad-Aware Internet Security

Como dissemos anteriormente, tanto as pragas eletrônicas quanto as ferramentas de segurança evoluíram substancialmente ao longo das últimas décadas, conquanto os mecanismos de defesa costumem ser aprimorados depois que uma nova modalidade de ataque é desenvolvida, o que deixa os usuários de computadores sempre em desvantagem. Aliás, para quem tem interesse em saber mais sobre esse assunto, recomendo a seqüência de postagens que publiquei no final de 2009 (para iniciar, clique aqui), focando os vírus de computador e a popularização das ferramentas destinadas a inibir suas ações maliciosas.
Seja como for, é importante ter em mente que navegar na Web sem dispor de um arsenal de defesa responsável é uma temeridade; há alguns anos, testes realizados por empresas de segurança idôneas demonstraram que um computador desprotegido conectado à Internet era invadido ou infectado em questão de minutos – e eu suponho que a coisa não tenha melhorado muito, de lá para cá.
Para piorar, boa parte dos malwares que espreitam os internautas priorizam atualmente o roubo de identidade e a captura de informações sigilosas (notadamente senhas bancárias e números de cartões de crédito), embora ainda existam pragas fiéis aos propósitos dos vírus “originais”, que buscavam destruir arquivos e comprometer o sistema infectado até torná-lo inoperável.
Diante do agravamento dos incidentes de segurança, há anos que não basta ter apenas um programa antivírus como instrumento de proteção. Um aplicativo de firewall ativo e operante também é imprescindível, sem mencionar outros programinhas destinados a inibir a ação de spywares, rootkits, keyloggers, phishing scam e distinta companhia.
Sensíveis a esses problemas, as empresas de segurança investiram em soluções “completas” (suítes), oferecidas inicialmente em versões pagas, mas que de uns tempos para cá já podem ser encontradas também (nem todas, infelizmente) na modalidade freeware. Um bom exemplo é o novo Ad-Aware Internet Security, da Lavasoft, que passou a integrar proteção contra vírus, trojans e assemelhados às suas tradicionais funções antispyware e antirootkit. Mesmo sendo mais “espartana” do que as versões PRO e TOTAL (US$ 29,95 e US$ 49,95, respectivamente), a versão gratuita oferece proteção em tempo real, tecnologia avançada de detecção de genótipos (habilidade de identificar e proteger proativamente os usuários contra ameaças ainda não catalogadas), atualizações automáticas e outras sutilezas, consistindo numa alternativa interessante para quem quer se proteger sem precisar meter a mão no bolso.

Observação: Os softwares de segurança precisam monitorar em tempo real – e eventualmente modificar – tudo que o sistema operacional está fazendo. Quando você comanda a abertura de um arquivo, por exemplo, tanto o antivírus quanto o antispyware precisam “espiar dentro dele”, e sempre que um aplicativo tenta conectar a Internet, o firewall deve decidir se permite ou nega o acesso. Quanto mais programas abertos, maior o risco de conflitos e perda de desempenho, de modo que as suítes de segurança, com diversos módulos trabalhando de maneira integrada (antivírus, antispyware, antispam, controle de pais, proteção à privacidade, etc.), evitam a duplicação de esforços, reduzem o impacto no desempenho e a possibilidade de conflitos que costumam ocorrer num arsenal formado por  vários programas de diversos fabricantes.

Para finalizar, não custa lembrar que os principais desenvolvedores de aplicativos de segurança (inclusive a Symantec e a McAfee) costumam fazer promoções, de tempos em tempos, oferecendo licenças gratuitas para o uso de seus produtos por prazos que vão de 30 dias a um ano. Basta esquadrinhar regularmente os respectivos websites para não “perder o bonde”.
Bom dia a todos e até mais ler.

Segurança e privacidade no IE8

Com a popularização da Internet, a utilidade dos PCs cresceu substancialmente: hoje em dia, ter um computador sem conexão com a Rede é como usar uma possante motocicleta somente para passear no quintal de casa. E como o browser é a porta de entrada para a Web, muitas das nossas postagens remetem às principais opções que disputam a preferência dos usuários (como você pode conferir clicando aqui aqui), até porque o Internet Explorer tem perdido espaço para a concorrência devido a questões de segurança (assunto que também já comentamos em outras oportunidades). No entanto, você pode elevar o nível de segurança de sua navegação sem abandonar de vez esse excelente programa. Veja como:

1- Antes de qualquer outra coisa, atualize seu IE para a versão 8 e aplique todas as correções críticas disponibilizadas pela Microsoft.
2- Clique em Ferramentas > Opções da Internet > Segurança e repare que existem quatro “zonas de segurança”. Nas três primeiras – Internet, Intranet e Sites confiáveis –, os níveis atribuídos por padrão (médio-alto, médio-baixo e médio, respectivamente) podem ser reajustados manualmente; em Sites restritos, a configuração (Alta) é fixa – ela não bloqueia os sites, mas impede que sejam utilizados scripts ou qualquer conteúdo ativo potencialmente nocivo para o computador.
3- Para incluir um site nas zonas Intranet, Sites confiáveis ou Sites restritos, abra a página em questão e escolha a configuração desejada; quando o URL for exibido no campo “Adicionar este site à zona”, clique em Adicionar, em Fechar e em OK.
4- Se quiser remover um site de uma zona de segurança, abra a zona em questão, selecione o site desejado, clique em Remover, em Fechar e em OK.

Observação: Note que, na zona dos Confiáveis, caso o site que você pretende incluir não for seguro, será preciso desmarcar a caixa de seleção “Exigir verificação do servidor (https:) para todos os sites desta zona”.

5- A aba Privacidade permite modificar as configurações-padrão para cookies (veja mais detalhes clicando aqui  e aqui), manipular a exibição de janelas pop-up (saiba mais a respeito clicando aqui aqui ) e fazer alguns ajustes de segurança adicionais.
6- Se você usa computadores do trabalho ou de cybercafés, ou ainda se compartilha o seu com outros usuários, convém recorrer à navegação “In-private” – acessível via menu Segurança > Navegação InPrivate ou pelo atalho de teclado Ctrl+Shift+P –, que inibe o armazenamento de arquivos temporários, dados de formulários, cookies, informações de login e entradas no histórico de navegação, evitando que outras pessoas vejam quais páginas você visitou e o que você procurou na Web, por exemplo.
7- Para se proteger de conteúdos de terceiros em websites que você visita (e evitar que eles monitorem seus hábitos de navegação), habilite a Filtragem InPrivate, que analisa o conteúdo web dos sites e, caso constate que o mesmo conteúdo está sendo usado por vários sites, oferece a opção de bloqueá-lo. Para ativar esse recurso, clique no botão Segurança, selecione Filtragem InPrivate e escolha Bloquear para mim (se quiser automatizar o serviço) ou Deixe-me escolher que provedores recebem minhas informações (caso queira escolher pessoalmente o conteúdo a ser bloqueado) e confirme em OK.

Observação: Muitas webpages embutem conteúdos de terceiros que, ou não são visíveis, ou parecem fazer parte da página (como anúncios, mapas ou ferramentas de análise da web de outros sites). Essa prática serve para desenvolver um perfil das preferências de navegação dos visitantes que tanto pode ser utilizado para oferecer anúncios direcionados quanto para fins “menos inocentes”.

8- Ative o filtro SmartScreen para prevenir que softwares mal-intencionados roubem seus dados bancários, senhas e outras informações sigilosas. Ele roda em segundo, compara os endereços visitados com as “listas negras” dinâmicas da Microsoft e exibe um alerta sempre que você acessar um site potencialmente perigoso ou tentar baixar um arquivo inseguro (para mais informações, clique aqui aqui). Caso queira fazer verificações manuais, acesse o site desejado, clique no botão Segurança, aponte para Filtro do SmartScreen e clique em Verificar o Site. Mesmo que a página em questão o instrua a ignorar o aviso do filtro (alegando, talvez, que foi sinalizada erroneamente como site de phishing), evite inserir quaisquer informações pessoais ou financeiras.

Observação: Para desativar o Filtro do SmartScreen, clique no botão Segurança, aponte para Filtro do SmartScreen, clique em Desativar Filtro do SmartScreen e confirme em OK.

Vale lembrar que manter o sistema e os programas atualizados e o arsenal de defesa adequadamente configurado são medidas essenciais para manter o PC seguro, mas nem sempre capazes de proteger o usuário de si mesmo. Então, proteja suas informações pessoais (e nunca as forneça em e-mails, mensagens instantâneas ou janelas pop-up); navegue em sites confiáveis (preferencialmente digitando o endereço da Web diretamente na Barra de Endereços); nunca clique em links de email ou mensagens instantâneas de pessoas estranhas (ou em qualquer link que pareça suspeito, já que mesmo as mensagens de amigos e familiares podem ser falsificadas) e analise regularmente seus extratos bancários e de cartões de crédito.
Até mais ler.

Curtas

“Engenharia social”, como nosso leitor já sabe, é uma expressão que designa versões revistas e atualizadas dos velhos “contos do vigário” – cuja essência consiste em praticar fraudes mediante exploração da ingenuidade, solidariedade ou ganância das vítimas potenciais. A despeito de essa prática ter sido facilitada sobremaneira pela popularização da Internet, o número de internautas “com um pé atrás” em relação ao phishing vem aumentando expressivamente, de modo que alguns malandros resolveram investir em “edições retrô".
Através de correspondência enviada pelos Correios (e em papel timbrado bastante convincente), os golpistas informam aos usuários de TV por assinatura que melhorias supostamente implementadas no serviço requerem o agendamento de uma visita técnica. Assim, ao ligar para o telefone sugerido na missiva – que, obviamente, é atendido por um integrante do bando –, o incauto estará marcando a data e o horário para sua residência ser assaltada.
Então, fique esperto: qualquer comunicação dessa natureza, seja por e-mail, seja via postal, deve ser confirmada através do número de telefone que consta no contrato, no boleto de pagamento ou no website da empresa.

***

Em virtude de uma recente decisão da ANATEL, o desbloqueio de celulares deve ser procedido pelas operadoras a custo zero, a qualquer momento do contrato e sem cobrança de multas (até então, as teles podiam exigir fidelidade de até 12 meses, caso o aparelho fosse cedido gratuitamente ou de forma subsidiada).

Segundo a Agência, o pedido de desbloqueio não significa que o usuário vá rescindir seu contrato; ele pode pedi-lo para usar mais de um chip em seu celular, mantendo o da operadora que lhe forneceu o aparelho. Ainda assim, caso queira romper o contrato, o cliente poderá fazê-lo sem multas, desde que apresente uma justificativa relevante (como má qualidade na prestação do serviço, por exemplo).

Bom dia a todos e até mais ler.

Curtas...

Sempre que você receber uma mensagem via Outlook Express e quiser adicionar o remetente ao seu catálogo de endereços, dê um clique direito no campo “De” e selecione a opção correspondente.

Falando no OE, se você receber um e-mail – supostamente do serviço de suporte da Microsoft – com um anexo pretensamente destinado a atualizar seu cliente de e-mail em questão, fique esperto: segundo a Panda Labs, quem rodar o executável instalará o cavalo de tróia Bredolab.Y e, de quebra, irá baixar um antivírus falso chamado SecurityTool. Vale lembrar que empresas de software não costumam enviar patches por e-mail, e que é arriscado você abrir quaisquer anexos, mesmo se enviados por remetentes conhecidos, sem antes fiscalizá-los com seu antivírus e/ou submetê-los a uma varredura on-line em sites como o http://www.virustotal.com/pt/.

Amargar interrupções no serviço de banda larga não é novidade para usuários do Speedy e de outros serviços (via cabo, rádio e distinta companhia). Entretanto, se sua conexão ADSL tiver o “hábito” de cair com freqüência, o problema pode ser a falta de microfiltros – que evitam interferências entre as chamadas de voz e a transmissão de dados. O recomendável é instalar um microfiltro em cada uma das tomadas de telefone do imóvel, inclusive naquelas que não têm aparelhos conectados.

Navegar na Web distrai, abstrai, e a gente sempre acaba aportando em outras paragens que não as relacionadas ao objetivo inicial da pesquisa. Mesmo no nosso humilde Blog, com quase 1.000 posts publicados, não é difícil alguém revisitar matérias antigas e se enrodilhar em temas diferentes, mas igualmente interessantes. Então, sempre que você estiver procurando uma informação qualquer e der de cara com uma página ou um link que desperte seu interesse (mas que você não tenha tempo de examinar de pronto), clique no menu Arquivo do IE e escolha uma das seguintes opções:

a) “Salvar como...” permite que você salve a página (no Desktop ou em outro local qualquer) e a visualize posteriormente, mesmo estando off-line – o que pode ser muito útil para o pessoal da conexão discada. Na caixa de diálogo que se abrir, dê um nome para o arquivo (ou aceite a sugestão padrão) e, no campo “Salvar como tipo...”, escolha “Arquivo da Web, arquivo simples (*.mht)”.
b) Clicando em “Enviar”, você tanto pode mandar a página completa (ou o link respectivo) para seu endereço eletrônico – ou para seus contatos, se assim o desejar – quanto criar um atalho em sua área de trabalho e, mais adiante, havendo uma conexão ativa, clicar sobre o atalho para abrir o IE e visualizar a página em questão.
c) Se você não estiver interessado na página, mas sim num link que ela porventura contenha, clique sobre ele com o botão direito, escolha a opção “Salvar destino como” e grave-o como um arquivo .html na área de trabalho ou em outro local de sua preferência.

Para finalizar, em aditamento à dica que o Victor publicou no último dia 06 (confira em http://papodeinformatica.blogspot.com/2010/02/conheca-um-programa-capaz-de-gravar.html), vale lembrar que você pode combinar o programinha sugerido com o site http://jovempan.uol.com.br/ e assim gravar suas músicas preferidas (ou notícias, entrevistas, etc.). Basta acessar a página em questão, clicar em JUKEBOX, escolher o que for de seu interesse e mandar ver.

Bom dia a todos e até mais ler.