O montante de perdas provenientes de fraudes contra empresas no acumulado de janeiro a agosto de 2009 foi de R$ 72 milhões.

Entre os maiores fraudados estão os setores de alimentos, confecções, materiais de construção, informática e autopeças visto que seus produtos são fáceis de comercializar no "mercado alternativo", por assim dizer.

A 4Sec Brasil auxilia empresas implantando sistemas e soluções que ajudam-nas na prevenção de fraudes e roubos bem como prestando consultoria na área de segurança da informação, contribuindo para a redução dos índices nacionais.

Fonte: Serasa - Notícias 2009

Temos recebido várias questionamentos sobre a qualidade do antivirus que a Microsoft recentemente lançou conhecido como Microsoft Security Essentials que tem como principal atrativo o fato de ser gratuito para os usuários com Windows original.

Para responder a pergunta "O novo antivirus da Microsoft é realmente bom" recorremos a uma das mais respeitadas avaliações de antivirus do mercado: a Virus Bulletin. Desde 1998 a Virus Bulletin faz o seu teste VB100, onde 100 diferentes ameaças representativas do panorama atual de ataques na Internet são usadas para avaliar os diversos antivirus do mercado. Se o antivirus consegue detectar todas as 100 ameaças e não mostra nenhum falso positivo, ela ganha o selo VB100 indicando o sucesso na avaliação.

Os testes são separados por sistema operacional, os testados são:

• Red Hat Enterprise Linux
• Windows XP Professional
• Windows Server 2003 x64 Enterprise Edition
• Windows Vista SP2 Business Edition
• Windows Server 2008

Obvio que nem todas as empresas tem software que atendem a todos os sistemas, a Microsoft por exemplo não tem software antivirus para Red Hat Enterprise Linux.

O Microsoft Security Essentials usa a mesma engine do Forefront da Microsoft e este recebeu o selo VB100 em todos os testes que participou (Windows XP, Windows Vista e Windows Server 2008), o que significa que o Microsoft Security Essentials é realmente uma boa opção principalmente para uso individual e doméstico, assim como para empresas de pequeno porte já que as maiores precisam de uma infra-estrutura melhor na questão de gerenciamento do antivirus.

O Microsoft Security Essentials se tornou uma ótima opção para pequenos empresários já que a maioria dos antivirus gratuitos são na verdade gratuitos apenas para usuários domésticos ou seja, se instalados na empresa são ilegais. Já o Microsoft Security Essential é gratuito para todos que tem Windows Original, na empresa ou não.

Gostaria de salientar neste post que as empresas:

• Alwil (do Avast)
• Eset (do NOD32)
• F-Secure
• Kaspersky 

Receberam o selo VB100 nos 5 operacionais, ou seja, elas tem versões para todos os sistemas testados e foram bem sucedidas no teste em todos eles.

A Symantec não passou no teste para o Windows Vista o que foi uma surpresa desagradavel.

A Macfee só não recebeu o selo no teste para Red Hat Enterprise Linux.

Eu pessoalmente estou testando o Microsoft Security Essentials no Windows 7 e tenho gostado. Ele me parece bem leve e discreto, não incomoda com mensagens toda hora e já pegou algumas ameaças. Eu estava usando anteriormente o Avira.

Clique aqui para baixar o Microsoft Security Essentials.

Google revelou a BBC hojeque o Gmail esta sendo alvo de um "grande esquema de phishing". O problema é semelhante ao que aconteceu com o Hotmail da Microsoft que já foi explicado aqui no blog.

A BBC teve acesso a duas listas que traziam detalhes de mais de 30 mil nomes e senhas que foram postados on-line.

Segundo informações do Google:

"Recentemente, tomamos conhecimento de um grande esquema de phishing através do qual os hackers obtiveram credenciais de usuários para contas de e-mail baseadas na web, incluindo as do Gmail".

"Assim que ficamos sabendo do ataque, forçamos redefinições de senha nas contas afetadas. Continuaremos a forçar essas alterações de senha em contas adicionais quando tomarmos conhecimento delas".

As recomendações de segurança da 4sec Brasil para o problema com o Gmail são as mesmas que demos para os problemas com o Hotmail ou seja:

1. Mude periodicamente suas senhas.
2. Não informe seus dados pessoais nunca por e-mail que não tenha 100% de certeza que sejam confiaveis. Você nunca deve responder um e-mail seja de banco, policia, ou qualquer outra organização com seus dados pessoais.
3. Evite manter informações importantes em contas gratuitas como hotmail, gmail, etc.  Porque você não tem controle sobre a segurança.

Lembramos que a 4sec Brasil oferece para seus clientes infra-estrutura segura para gerenciamento de e-mail no formato nome@suaempresa.com.br. Entre em contato para maiores informações. Muitas empresas usam emails gratuitos para assuntos empresariais, além de falta de segurança não tem aparência profissional.

Uma api da Microsoft chamada CryptoAPI que faz com que certificados falsos de sites supostamente seguros (que usam o protocolo HTTPS) sejam reconhecidos e validados tem uma falha já a quase 3 meses e ainda não foi corrigida.

Essa api é utilizada tanto pelo Internet Explorer como pelo Safari e o Google Chrome.

Alguns hackers estão utilizando esta falha para realizar um tipo de ataque chamado “Man in the middle” no processo de compra do Paypal.

Devido a falha que "valida" o certificado mesmo durante o ataque o Paypal não tem como saber se há alguém entre o usuário e seus servidores. Por outro lado, o usuário também não tem como verificar isso.

A equipe da 4sec Brasil recomenda que até que a CryptoAPI tenha a falha corrigida você utilize o Firefox nas versões acima da 3.0.13 para efetuar compras no Paypal.

Ainda não se sabe direito como mas a Microsoft já confirmou que senhas de alguns usuários do Hotmail foram expostas em um site, mas logo foram retiradas do ar.

Não se sabe quantos usuários foram expostos, relatos dizem que entorno de 10 mil, a Microsoft não confirma esta informação.

A Microsoft diz que possivelmente foi um esquema de phishing que originou o problema. O phishing é um esquema por meio do qual fraudadores se apossam de informações pessoais enviando e-mails falsos de bancos, departamentos de TI e outras fontes confiáveis.

A Microsoft disse que as senhas foram removidas do site ilegal e que ela bloqueou o acesso a todas as contas afetadas. A companhia está ajudando os usuários a recuperar suas contas do Hotmail.

O que se sabe ao certo é que a exposição das senhas não aconteceu devido a uma violação nos servidores da Microsoft, pelo menos essa é a informação oficial.

Embora as contas com senhas divulgadas sejam da Europa, sabemos que muitos brasileiros utilizam o hotmail. Como se prevenir desse tipo de ataque?

• Primeiro, mude periodicamente suas senhas.
• Segundo, não informe seus dados pessoais nunca por e-mail que não tenha 100% de certeza que sejam confiaveis. Você nunca deve responder um e-mail seja de banco, policia, ou qualquer outra organização com seus dados pessoais.
• Terceiro, evite manter informações importantes em contas gratuitas como hotmail, gmail, etc. Você não tem controle sobre a segurança.

A 4sec Brasil oferece para seus clientes infra-estrutura segura para gerenciamento de e-mail no formato nome@suaempresa.com.br. Entre em contato para maiores informações. Muitas empresas usam emails gratuitos para assuntos empresariais, além de falta de segurança não tem aparência profissional.

Foram encontradas duas falhas de segurança que podem resultar em ataques de negação de serviço (conhecido como DoS).

Os problemas são de SMS e de API que podem causar o congelamento do SO e a falha na capacidade de enviar e receber chamadas.

No caso do SMS o ataque ocorre com base em uma mensagem malformada criada especialmente para ativar uma condição que desconecta o telefone da rede. O programa de ligações é reiniciado e não volta a se conectar. Se usuário não perceber o ocorrido pode ficar horas sem poder fazer ou receber chamadas, até que o aparelho seja reiniciado.

Já o problema da API é ativado por um aplicativo com um código malicioso. Ao ser ativado, ele inicia o ciclo da vulnerabilidade que acaba reiniciando o processo do sistema ocasionando problema semelhante ao que ocorre com o SMS.

Para resolver os problemas, os proprietários de celulares com o Android devem atualizar seus sistemas.

O Anti-Phishing Working Group publicou um relatório afirmando que os números de ataques com sucesso estão crescendo de forma alarmante, as técnicas utilizadas e responsavéis por esse aumento são de fishing e scareware.

Segundo o relatório no primeiro semestre de 2009, mais de 485 mil variantes de scareware foram encontradas. A quantidade subiu de 22 mil por mês em janeiro para 152 mil em junho.

4/5 dos ataques a sites oferecem promessas falsas de pagamentos e serviços. As pragas fazem com que os usuários pensem que existe uma ameaça real em suas máquinas. Eles então são forçados a comprar uma solução falsa, o que caracteriza o crime.

De acordo com o estudo, os internautas são contaminados ao navegar por sites com códigos maliciosos. Algumas pragas virtuais são capazes de imitar certificados verdadeiros de segurança.

Como se prevenir??

Tormar cuidado com a navegação, as vezes você pode digitar o endereço errado e por isso acessar um site malicioso pensando que é o correto. Sites pornograficos são campeões em pragas virtuais, evite-os a todo custo.

Nas empresas é importante ter uma politica de acesso e programas que monitores os recursos da rede como oferece o módulo 4sec.

É importante ter sempre o sistema atualizado, isso inclui anti-virus mas não só ele. Atualizações do windows e do navegador web também são essenciais. A maioria das pragas ataca vulnerabilidades que muitas vezes já foram corrigidas. Por isso o uso de windows pirata pode ser prejudicial a sua empresa, porque na maioria das vezes ele esta desatualizado.

A 4sec Brasil conta com equipe especializada que auxilia sua empresa (de qualquer porte) a se prevenir monitorando sua rede e cuidando individualmente das atualizações e brechas de segurança em cada maquina. Entre em contato conosco para maiores informações. Os preços são bastante acessiveis e você vai ficar surpreso com o nível de segurança implementado.

Baixe aqui o relatório.

Coloco esse post apenas como exemplo do cuidado que temos que ter com a segurança de nossos sistemas.

Somos contra a pirataria, e o que escrevo abaixo é apenas didático e de fato bem velho... esta na rede desde, pelo menos, 2008.

Ativando Windows XP em apenas 10 passos e sem programa nenhum!

Um grupo de hackers russos está pagando 43 centavos de dólar aos seus comparsas do crime por máquina infectada com o software de video bogus.

Pode ser um valor irrisório, mas a idéia é encorajar os meliantes a fazerem com que os MACs entrem em suas redes de computadores zumbis. Na conferência Virus Bulletin 2009, realizada em Geneva na Suíça o pesquisador Dmitry Samosseiko falou de suas interações com o russo "Partneika" e de como a dinheiro para tais ações provém de meios ilícitos como malwares e spams vindo de sites relacionados a drogas.

A Symantec se pronunciou a respeito da pesquisa e disse que os usuários de MAC estão desprotegidos e que se enganam por pensar que os malwares são desenvolvidos apenas para Windows, e que o risco é grande para os donos de micros provenientes da Apple.

O mercado de Macs ainda é pequeno e representa apenas 5% dos computadores no mundo, mas estes 5% estão se mostrando interessantes para o mundo hacker, especialmente porque os fanáticos por Apple acreditam que estão 100% protegidos de vírus ao utilizarem o Mac OS X e que não instalam nenhum software de segurança.

É preciso baixar a nova versão do iTunes, a 9.0.1 para acabar com a vulnerabilidade crítica que permitica que hackers executassem malware no computador da vitima sobrecarregando arquivos .PLS (execução de playlist).

A vulnerabilidade existia tanto para sistemas operacionais Windows como Mac OS X.

Além da falha de segurança, outros bugs também foram corrigidos, como a estabilidade durante a sincronização de iPods e iPhones.

A atualização tem 83 MB e pode ser executado diretamente do iTunes, através do Software Update System da Apple.