Dia 05/08/2010 participamos de um evento em Londrina no Senai visando divulgar o tema segurança da informação e mostrar sua verdadeira importancia nas empresas e no desenvolvimento de software. Infelizmente vemos que o tema não tem a devida importancia nas empresas até que prejuizos relevantes sejam impostos.

O Senai em Londrina esta abrindo um curso de Pós-Graduação em Segurança da Informação. Com uma grade muito boa por sinal.

Falamos sobre o contexto de segurança nas empresas e sobre código seguro, quais cuidados os desenvolvedores devem ter na hora que estão desenvolvendo e como colocar a segurança no ciclo de desenvolvimento de software. Foi superficial porque é um assunto novo pra maioria e o público era bastante não tinha só desenvolvedores, contava com vários empresarios e pessoal de infra-estrutura em TI.

Tentamos mostrar que segurança no desenvolvimento é de interesse de todo mundo, sendo desenvolvedor ou não, que um empresário deve perguntar sobre segurança quando for adquirir um software, que nós usuários devemos nos preocupar quando vamos instalar software no nosso computador e que os desenvolvedores devem estudar sobre o assunto e desenvolver código seguro para não prejudicar os usuários dos sistemas deles com brechas de segurança.

Preocupante foi notar que a maioria das empresas não se preocupa com isso na hora que esta comprando um software, que a maioria dos empregadores não se preocupa com conhecimentos de segurança na hora que esta contratando um profissional de desenvolvimento, na verdade eles nem sabem o que perguntar e tentamos deixar um roteiro básico pro pessoal na palestra.

O feedback foi muito bom, auditório lotado e várias perguntas o que sempre nos deixa bastante contente porque mostra o interesse do pessoal.

Segue algumas fotos do evento:

Neste mês (Agosto/2010) saiu um artigo na Mundo.NET sobre o um produto da 4sec destinado a gestão de fraudes.

Esse produto começou sendo parte de uma solução nossa para análise de dados e gestão de departamentos de fraudes, mas o sucesso foi grande e o tema nos cativou de tal forma que hoje estamos desvinculando esse produto do nosso sistema de análise e transformando em um produto separado.

Nós temos um time especializado na plataforma.NET da Microsoft reconhecido principalmente por desenvolver aplicativos seguros usando a plataforma e claro pelo sucesso dos nossos produtos. Por isso frequentemente somos convidados para escrever em revistas especializadas sobre o tecnologia .NET e também palestramos em eventos ligados a mesma plataforma.

Neste mês saiu um artigo na Mundo.NET sobre o Caseboard, um produto da 4sec destinado a gestão de fraudes.

Clique aqui para conhecer o Caseboard.

Segundo relatório da Symantec com dados obeitdos entre julho de 2008 e junho de 2009:

• Os criminosos utilizam táticas de engenharia social para convencer os usuários a instalarem falsos antivírus e sistemas de segurança.
• A contaminação se dá por meio de anúncios falsos de vírus e pragas virtuais em sites com códigos maliciosos.
• Uma das formas utilizadas para espalhar os links perigosos envolve a utilização de técnica para promover os sites falsos nos motores de busca como Google e Bing.
• Os criminosos chegam a comprar até espaço na área de links patrocinados para ganhar mais evidência e credibilidade.
• 93% das instações de software dos 50 principais programas falsos analisados foram feitas com o conhecimento do usuário.
• Até junho de 2009 foram detectados 250 diferentes programas de segurança.
• Esses aplicativos imitam as versões reais de programas populares, mas não fornecem nenhum tipo de proteção.
• Eles são responsáveis por abrir as portas do computador para outras ameaças, como malware e spyware
• Algumas pessoas chegam a ganhar cerca de US$ 330 mil por mês em uma espécie de programa de afiliados. Eles se unem às redes criminosas e ganham uma quantia específica por PC contaminado.

Para evitar esse problema a 4sec Brasil recomenda:

1. Procure soluções de segurança conhecidas, tanto em lojas online quanto fisicas.
2. Pesquise na internet para ver o histórico da ferramenta na internet.
3. Evite clicar em links suspeitos (Só clique quanto tiver certeza).
   
4. Mantenha um firewall e seu antivirus atualizados.

Segundo a SecurityFocus, o sistema operacional móvel da Palm possui uma falha que garante acesso a qualquer arquivo.

O acesso acontece após a abertura de um e-mail especialmente criado por hackers.

O ataque é baseado em JavaScript e é capaz de roubar arquivos e postá-los em website onde serão recuperados pelo atacante.

O arquivo mais visado é o PalmDatabase.db3 que armazena as informações dos contatos.

Para resolver o problema é preciso atualizar para a versão 1.2 ou superior.

Cuidado com os aplicativos do Facebook, hacker tem usado aplicativos com iframe inserido para executar ataques.

Os seguintes aplicativos foram atacados com certeza:

• CityFireDepartment
• MyGirlySpace
• Ferrarifone
• Mashpro
• Mynameis
• Pass-it-on
• Fillinthe
• Auariumlife

No entanto muitos outros aplicativos podem ter sido atacados.

Não temos previsão de quando a vulnerabilidade no facebook será resolvida. Segundo a AVG será dificil encontrar a brecha.

Temos recebido várias questionamentos sobre a qualidade do antivirus que a Microsoft recentemente lançou conhecido como Microsoft Security Essentials que tem como principal atrativo o fato de ser gratuito para os usuários com Windows original.

Para responder a pergunta "O novo antivirus da Microsoft é realmente bom" recorremos a uma das mais respeitadas avaliações de antivirus do mercado: a Virus Bulletin. Desde 1998 a Virus Bulletin faz o seu teste VB100, onde 100 diferentes ameaças representativas do panorama atual de ataques na Internet são usadas para avaliar os diversos antivirus do mercado. Se o antivirus consegue detectar todas as 100 ameaças e não mostra nenhum falso positivo, ela ganha o selo VB100 indicando o sucesso na avaliação.

Os testes são separados por sistema operacional, os testados são:

• Red Hat Enterprise Linux
• Windows XP Professional
• Windows Server 2003 x64 Enterprise Edition
• Windows Vista SP2 Business Edition
• Windows Server 2008

Obvio que nem todas as empresas tem software que atendem a todos os sistemas, a Microsoft por exemplo não tem software antivirus para Red Hat Enterprise Linux.

O Microsoft Security Essentials usa a mesma engine do Forefront da Microsoft e este recebeu o selo VB100 em todos os testes que participou (Windows XP, Windows Vista e Windows Server 2008), o que significa que o Microsoft Security Essentials é realmente uma boa opção principalmente para uso individual e doméstico, assim como para empresas de pequeno porte já que as maiores precisam de uma infra-estrutura melhor na questão de gerenciamento do antivirus.

O Microsoft Security Essentials se tornou uma ótima opção para pequenos empresários já que a maioria dos antivirus gratuitos são na verdade gratuitos apenas para usuários domésticos ou seja, se instalados na empresa são ilegais. Já o Microsoft Security Essential é gratuito para todos que tem Windows Original, na empresa ou não.

Gostaria de salientar neste post que as empresas:

• Alwil (do Avast)
• Eset (do NOD32)
• F-Secure
• Kaspersky 

Receberam o selo VB100 nos 5 operacionais, ou seja, elas tem versões para todos os sistemas testados e foram bem sucedidas no teste em todos eles.

A Symantec não passou no teste para o Windows Vista o que foi uma surpresa desagradavel.

A Macfee só não recebeu o selo no teste para Red Hat Enterprise Linux.

Eu pessoalmente estou testando o Microsoft Security Essentials no Windows 7 e tenho gostado. Ele me parece bem leve e discreto, não incomoda com mensagens toda hora e já pegou algumas ameaças. Eu estava usando anteriormente o Avira.

Clique aqui para baixar o Microsoft Security Essentials.

Google revelou a BBC hojeque o Gmail esta sendo alvo de um "grande esquema de phishing". O problema é semelhante ao que aconteceu com o Hotmail da Microsoft que já foi explicado aqui no blog.

A BBC teve acesso a duas listas que traziam detalhes de mais de 30 mil nomes e senhas que foram postados on-line.

Segundo informações do Google:

"Recentemente, tomamos conhecimento de um grande esquema de phishing através do qual os hackers obtiveram credenciais de usuários para contas de e-mail baseadas na web, incluindo as do Gmail".

"Assim que ficamos sabendo do ataque, forçamos redefinições de senha nas contas afetadas. Continuaremos a forçar essas alterações de senha em contas adicionais quando tomarmos conhecimento delas".

As recomendações de segurança da 4sec Brasil para o problema com o Gmail são as mesmas que demos para os problemas com o Hotmail ou seja:

1. Mude periodicamente suas senhas.
2. Não informe seus dados pessoais nunca por e-mail que não tenha 100% de certeza que sejam confiaveis. Você nunca deve responder um e-mail seja de banco, policia, ou qualquer outra organização com seus dados pessoais.
3. Evite manter informações importantes em contas gratuitas como hotmail, gmail, etc.  Porque você não tem controle sobre a segurança.

Lembramos que a 4sec Brasil oferece para seus clientes infra-estrutura segura para gerenciamento de e-mail no formato nome@suaempresa.com.br. Entre em contato para maiores informações. Muitas empresas usam emails gratuitos para assuntos empresariais, além de falta de segurança não tem aparência profissional.

Uma api da Microsoft chamada CryptoAPI que faz com que certificados falsos de sites supostamente seguros (que usam o protocolo HTTPS) sejam reconhecidos e validados tem uma falha já a quase 3 meses e ainda não foi corrigida.

Essa api é utilizada tanto pelo Internet Explorer como pelo Safari e o Google Chrome.

Alguns hackers estão utilizando esta falha para realizar um tipo de ataque chamado “Man in the middle” no processo de compra do Paypal.

Devido a falha que "valida" o certificado mesmo durante o ataque o Paypal não tem como saber se há alguém entre o usuário e seus servidores. Por outro lado, o usuário também não tem como verificar isso.

A equipe da 4sec Brasil recomenda que até que a CryptoAPI tenha a falha corrigida você utilize o Firefox nas versões acima da 3.0.13 para efetuar compras no Paypal.

Ainda não se sabe direito como mas a Microsoft já confirmou que senhas de alguns usuários do Hotmail foram expostas em um site, mas logo foram retiradas do ar.

Não se sabe quantos usuários foram expostos, relatos dizem que entorno de 10 mil, a Microsoft não confirma esta informação.

A Microsoft diz que possivelmente foi um esquema de phishing que originou o problema. O phishing é um esquema por meio do qual fraudadores se apossam de informações pessoais enviando e-mails falsos de bancos, departamentos de TI e outras fontes confiáveis.

A Microsoft disse que as senhas foram removidas do site ilegal e que ela bloqueou o acesso a todas as contas afetadas. A companhia está ajudando os usuários a recuperar suas contas do Hotmail.

O que se sabe ao certo é que a exposição das senhas não aconteceu devido a uma violação nos servidores da Microsoft, pelo menos essa é a informação oficial.

Embora as contas com senhas divulgadas sejam da Europa, sabemos que muitos brasileiros utilizam o hotmail. Como se prevenir desse tipo de ataque?

• Primeiro, mude periodicamente suas senhas.
• Segundo, não informe seus dados pessoais nunca por e-mail que não tenha 100% de certeza que sejam confiaveis. Você nunca deve responder um e-mail seja de banco, policia, ou qualquer outra organização com seus dados pessoais.
• Terceiro, evite manter informações importantes em contas gratuitas como hotmail, gmail, etc. Você não tem controle sobre a segurança.

A 4sec Brasil oferece para seus clientes infra-estrutura segura para gerenciamento de e-mail no formato nome@suaempresa.com.br. Entre em contato para maiores informações. Muitas empresas usam emails gratuitos para assuntos empresariais, além de falta de segurança não tem aparência profissional.