Dia 05/08/2010 participamos de um evento em Londrina no Senai visando divulgar o tema segurança da informação e mostrar sua verdadeira importancia nas empresas e no desenvolvimento de software. Infelizmente vemos que o tema não tem a devida importancia nas empresas até que prejuizos relevantes sejam impostos.

O Senai em Londrina esta abrindo um curso de Pós-Graduação em Segurança da Informação. Com uma grade muito boa por sinal.

Falamos sobre o contexto de segurança nas empresas e sobre código seguro, quais cuidados os desenvolvedores devem ter na hora que estão desenvolvendo e como colocar a segurança no ciclo de desenvolvimento de software. Foi superficial porque é um assunto novo pra maioria e o público era bastante não tinha só desenvolvedores, contava com vários empresarios e pessoal de infra-estrutura em TI.

Tentamos mostrar que segurança no desenvolvimento é de interesse de todo mundo, sendo desenvolvedor ou não, que um empresário deve perguntar sobre segurança quando for adquirir um software, que nós usuários devemos nos preocupar quando vamos instalar software no nosso computador e que os desenvolvedores devem estudar sobre o assunto e desenvolver código seguro para não prejudicar os usuários dos sistemas deles com brechas de segurança.

Preocupante foi notar que a maioria das empresas não se preocupa com isso na hora que esta comprando um software, que a maioria dos empregadores não se preocupa com conhecimentos de segurança na hora que esta contratando um profissional de desenvolvimento, na verdade eles nem sabem o que perguntar e tentamos deixar um roteiro básico pro pessoal na palestra.

O feedback foi muito bom, auditório lotado e várias perguntas o que sempre nos deixa bastante contente porque mostra o interesse do pessoal.

Segue algumas fotos do evento:

Neste mês (Agosto/2010) saiu um artigo na Mundo.NET sobre o um produto da 4sec destinado a gestão de fraudes.

Esse produto começou sendo parte de uma solução nossa para análise de dados e gestão de departamentos de fraudes, mas o sucesso foi grande e o tema nos cativou de tal forma que hoje estamos desvinculando esse produto do nosso sistema de análise e transformando em um produto separado.

Nós temos um time especializado na plataforma.NET da Microsoft reconhecido principalmente por desenvolver aplicativos seguros usando a plataforma e claro pelo sucesso dos nossos produtos. Por isso frequentemente somos convidados para escrever em revistas especializadas sobre o tecnologia .NET e também palestramos em eventos ligados a mesma plataforma.

Senhas podem ser chaves para muitas coisas, tais como seu email, perfil no Facebook, ou sua conta no banco. Você sabia que muitas pessoas ainda usam senhas como "senha" ou "123456"? É extremamente perigoso usar uma única senha para todos as suas contas em serviços online. Imagine um hacker crackear esta única senha? Para se estar realmente seguro, é necessário criar senhas únicas, e difíceis de serem crackeadas.

Você sabe como criar uma boa senha?! E como conseguir lembrar de várias senhas ao mesmo tempo? Aqui vamos fornecer alguns truques e dicas de como criar senhas fortes e individuais para todas as contas de serviços online.

Algumas características básicas de uma senha segura

• A senha não pode conter no dicionário;
• A senha precisa conter números e símbolos especiais;
• A senha precisa misturar letras maiúsculas e minúsculas;
• A senha precisa ter no mínimo 10 caracteres;
• A senha não pode ser de fácil adivinhação através de seus dados pessoais, tais como data de aniversário, endereço.

Seguindo essas cinco dicas, a probabilidade de você ter uma senha descoberta é muito baixa, mas ainda falta algo essencial: como se lembrar dela?

Criar senhas fáceis de serem lembradas

• Substituição de letras por numeros e/ou símbolos. Ex: Segurança vira $36ur@nç@;
• Tranformar a "password" em uma "passphrase", capturando a inicial de cada palavra de uma frase. Ex: Se O Google Não Encontra Não Existe vira sognene;
• Escrever uma palavra ao contrário. Ex: Info vira ofni.

Mais uma dica para ajudar a lembrar, e de quebra aumentar ainda mais a segurança: não guarde sua senha no navegador, de modo que ela seja preenchida automaticamente. Isso deixa nosso cérebro “relaxado”, e com o tempo e a falta de uso, acabamos por esquecer da senha. Todos os grandes navegadores têm esse recurso atualmente, mas é bom evitá-lo.

Ainda com todos esses exemplos, elas não são totalmente seguras, por que mesmo elas não contendo no dicionário, elas seguem um padrão. Apesar disso, elas já tem algum nível de segurança. Mas ideal, mesmo, é fazer com que elas tenham algum sentido. Algo como $36ur@nç@$06n3n30Fn!

Não a repita sua senha em todos os serviços

Aplique sua senha forte como base para as demais. Não a repita ela em todos os serviços, por que se alguém mal intencionado descobre uma senha, pode por fim comprometer todos os outros serviços no qual faça parte. O acréscimo de algo especial, relacionado a cada serviço, o livra desse problema.

Exemplo:

• Messenger: msn:$36ur@nç@$06n3n30Fn!
• Email: MaiL:$36ur@nç@$06n3n30Fn!
• Twitter: twt:$36ur@nç@$06n3n30Fn!

Antes de sair por aí trocando todas as suas senhas, mais uma dica: faça um teste no The Password Meter, um sistema que analisa a senha criada e atribui um nível de segurança baseado em vários critérios. Seja exigente, e não se contente com menos de 100% .

Troque Sua Senha Regularmente

• Mude a identificação do serviço que você esta usando. Ex: use as últimas três do serviço no lugar das três primeiras (Gma vira ail ou eBa vira Bay)
• Mude a posição das letras de identificação do serviço que você esta usando. Ex: coloque na frente ou no meio da sua senha base.
• Adicione a data de quando você alterou a senha na ultima vez e marque no seu calendário

Em outras palavras, use sua vantagem humana: seja criativo e pense fora da caixa!

Com o crescimento, cada vez maior, da aquisição de portáteis sem qualquer leitor de CD/DVD, as portas USB se tornam uma boa escolha na hora de instalar o Sistema Operacional.

Exemplo prático são os netbooks, que vem sem leitores de CD/DVD interno, sendo necessário recorrer a leitores externos ou então compilar um SO que seja possível instalar via Pendrive.

A 4Sec Brasil recomenda o Windows 7 USB/DVD Download tool, que é uma ferramenta que permite criar uma cópia da sua imagem .iso do Windows 7 e colocar em um Pendrive ou DVD, tornando-os bootáveis.

Uma vez realizado esse processo é possível a instalação do Windows 7 apartir de qualquer Pendrive ou DVD.

1º Passo - Indicar o caminho do arquivo .iso

2º Passo - Escolher dispositivo a ser ser criado o Windows 7 Bootável (USB ou DVD)

Nesse caso escolhi Pendrive (USB DEVICE).

3º Passo - Inserir o Pendrive

Obs. O Pendrive deve ter capacidade de armazenamento igual ou maior do que o tamanho da imagem .iso.

Passo 3 - Iniciar a cópia dos arquivos da imagem .iso para o Pendrive.

Segundo matéria da INFO EXAME deste mês de fevereiro os 5 melhores antivírus gratuitos são, na ordem do mais eficiente em detecções para o menos eficiente:
1º) Antivir Personal 9 da Avira 
2º) BitDefender Free 10 da BitDefender
3º) Avast! Home 8 da Alwil
4º) AVG Antivírus Free 9 da AVG
5º) Security Essentials da Microsoft

Dos antivírus pagos, segue a ordem dos melhores do mais eficiente em detecções para o menos eficiente:
1º) Kaspersky Internet Security 2010 da Kaspersky - R$ 100,00 / ano
2º) Panda Internet Security 2010 da Panda - R$ 99,00 / ano
3º) Mcafee Internet Security 2010 da McAfee - R$ 119,00 / ano
4º) Trend Micro Internet Security da Trend Micro - R$ 89,00 / ano
5º) Norton Internet Security 2010 da Symantec - R$ 99,00 / ano

A 4Sec Brasil recomenda a utilização de um antivírus que se encaixe com suas necessidades e que seja sempre atualizado com as últimas definições de vírus.

Neste mês saiu um artigo na Mundo.NET sobre o Caseboard, um produto da 4sec destinado a gestão de fraudes.

Clique aqui para conhecer o Caseboard.

Segundo relatório da Symantec com dados obeitdos entre julho de 2008 e junho de 2009:

• Os criminosos utilizam táticas de engenharia social para convencer os usuários a instalarem falsos antivírus e sistemas de segurança.
• A contaminação se dá por meio de anúncios falsos de vírus e pragas virtuais em sites com códigos maliciosos.
• Uma das formas utilizadas para espalhar os links perigosos envolve a utilização de técnica para promover os sites falsos nos motores de busca como Google e Bing.
• Os criminosos chegam a comprar até espaço na área de links patrocinados para ganhar mais evidência e credibilidade.
• 93% das instações de software dos 50 principais programas falsos analisados foram feitas com o conhecimento do usuário.
• Até junho de 2009 foram detectados 250 diferentes programas de segurança.
• Esses aplicativos imitam as versões reais de programas populares, mas não fornecem nenhum tipo de proteção.
• Eles são responsáveis por abrir as portas do computador para outras ameaças, como malware e spyware
• Algumas pessoas chegam a ganhar cerca de US$ 330 mil por mês em uma espécie de programa de afiliados. Eles se unem às redes criminosas e ganham uma quantia específica por PC contaminado.

Para evitar esse problema a 4sec Brasil recomenda:

1. Procure soluções de segurança conhecidas, tanto em lojas online quanto fisicas.
2. Pesquise na internet para ver o histórico da ferramenta na internet.
3. Evite clicar em links suspeitos (Só clique quanto tiver certeza).
   
4. Mantenha um firewall e seu antivirus atualizados.

Segundo a SecurityFocus, o sistema operacional móvel da Palm possui uma falha que garante acesso a qualquer arquivo.

O acesso acontece após a abertura de um e-mail especialmente criado por hackers.

O ataque é baseado em JavaScript e é capaz de roubar arquivos e postá-los em website onde serão recuperados pelo atacante.

O arquivo mais visado é o PalmDatabase.db3 que armazena as informações dos contatos.

Para resolver o problema é preciso atualizar para a versão 1.2 ou superior.

Cuidado com os aplicativos do Facebook, hacker tem usado aplicativos com iframe inserido para executar ataques.

Os seguintes aplicativos foram atacados com certeza:

• CityFireDepartment
• MyGirlySpace
• Ferrarifone
• Mashpro
• Mynameis
• Pass-it-on
• Fillinthe
• Auariumlife

No entanto muitos outros aplicativos podem ter sido atacados.

Não temos previsão de quando a vulnerabilidade no facebook será resolvida. Segundo a AVG será dificil encontrar a brecha.

Amanha dia 13 de Outubro a Microsoft liberará 34 atualizações para sua gama de softwares, entre eles Windows, Internet Explorer, Sql Server, Office, entre outros.

O Windows 7 que ainda não foi lançado oficialmente também já ganha 5 atualizações!

Esta atualização ganha da última maior atualização por 3 atualizações, pois o recorde era de 31 atualizações.

Dentre as atualizações liberadas, muitas são consideradas críticas e devem ser instaladas o quanto antes.

A 4Sec Brasil sempre lembra seus clientes e parceiros que todas as atualizações devem ser instaladas evitando assim que os softwares apresentem problemas conhecidos e gerem desgaste desnessário.

Clique aqui para mais informações.