Dia 05/08/2010 participamos de um evento em Londrina no Senai visando divulgar o tema segurança da informação e mostrar sua verdadeira importancia nas empresas e no desenvolvimento de software. Infelizmente vemos que o tema não tem a devida importancia nas empresas até que prejuizos relevantes sejam impostos.

O Senai em Londrina esta abrindo um curso de Pós-Graduação em Segurança da Informação. Com uma grade muito boa por sinal.

Falamos sobre o contexto de segurança nas empresas e sobre código seguro, quais cuidados os desenvolvedores devem ter na hora que estão desenvolvendo e como colocar a segurança no ciclo de desenvolvimento de software. Foi superficial porque é um assunto novo pra maioria e o público era bastante não tinha só desenvolvedores, contava com vários empresarios e pessoal de infra-estrutura em TI.

Tentamos mostrar que segurança no desenvolvimento é de interesse de todo mundo, sendo desenvolvedor ou não, que um empresário deve perguntar sobre segurança quando for adquirir um software, que nós usuários devemos nos preocupar quando vamos instalar software no nosso computador e que os desenvolvedores devem estudar sobre o assunto e desenvolver código seguro para não prejudicar os usuários dos sistemas deles com brechas de segurança.

Preocupante foi notar que a maioria das empresas não se preocupa com isso na hora que esta comprando um software, que a maioria dos empregadores não se preocupa com conhecimentos de segurança na hora que esta contratando um profissional de desenvolvimento, na verdade eles nem sabem o que perguntar e tentamos deixar um roteiro básico pro pessoal na palestra.

O feedback foi muito bom, auditório lotado e várias perguntas o que sempre nos deixa bastante contente porque mostra o interesse do pessoal.

Segue algumas fotos do evento:

Senhas podem ser chaves para muitas coisas, tais como seu email, perfil no Facebook, ou sua conta no banco. Você sabia que muitas pessoas ainda usam senhas como "senha" ou "123456"? É extremamente perigoso usar uma única senha para todos as suas contas em serviços online. Imagine um hacker crackear esta única senha? Para se estar realmente seguro, é necessário criar senhas únicas, e difíceis de serem crackeadas.

Você sabe como criar uma boa senha?! E como conseguir lembrar de várias senhas ao mesmo tempo? Aqui vamos fornecer alguns truques e dicas de como criar senhas fortes e individuais para todas as contas de serviços online.

Algumas características básicas de uma senha segura

• A senha não pode conter no dicionário;
• A senha precisa conter números e símbolos especiais;
• A senha precisa misturar letras maiúsculas e minúsculas;
• A senha precisa ter no mínimo 10 caracteres;
• A senha não pode ser de fácil adivinhação através de seus dados pessoais, tais como data de aniversário, endereço.

Seguindo essas cinco dicas, a probabilidade de você ter uma senha descoberta é muito baixa, mas ainda falta algo essencial: como se lembrar dela?

Criar senhas fáceis de serem lembradas

• Substituição de letras por numeros e/ou símbolos. Ex: Segurança vira $36ur@nç@;
• Tranformar a "password" em uma "passphrase", capturando a inicial de cada palavra de uma frase. Ex: Se O Google Não Encontra Não Existe vira sognene;
• Escrever uma palavra ao contrário. Ex: Info vira ofni.

Mais uma dica para ajudar a lembrar, e de quebra aumentar ainda mais a segurança: não guarde sua senha no navegador, de modo que ela seja preenchida automaticamente. Isso deixa nosso cérebro “relaxado”, e com o tempo e a falta de uso, acabamos por esquecer da senha. Todos os grandes navegadores têm esse recurso atualmente, mas é bom evitá-lo.

Ainda com todos esses exemplos, elas não são totalmente seguras, por que mesmo elas não contendo no dicionário, elas seguem um padrão. Apesar disso, elas já tem algum nível de segurança. Mas ideal, mesmo, é fazer com que elas tenham algum sentido. Algo como $36ur@nç@$06n3n30Fn!

Não a repita sua senha em todos os serviços

Aplique sua senha forte como base para as demais. Não a repita ela em todos os serviços, por que se alguém mal intencionado descobre uma senha, pode por fim comprometer todos os outros serviços no qual faça parte. O acréscimo de algo especial, relacionado a cada serviço, o livra desse problema.

Exemplo:

• Messenger: msn:$36ur@nç@$06n3n30Fn!
• Email: MaiL:$36ur@nç@$06n3n30Fn!
• Twitter: twt:$36ur@nç@$06n3n30Fn!

Antes de sair por aí trocando todas as suas senhas, mais uma dica: faça um teste no The Password Meter, um sistema que analisa a senha criada e atribui um nível de segurança baseado em vários critérios. Seja exigente, e não se contente com menos de 100% .

Troque Sua Senha Regularmente

• Mude a identificação do serviço que você esta usando. Ex: use as últimas três do serviço no lugar das três primeiras (Gma vira ail ou eBa vira Bay)
• Mude a posição das letras de identificação do serviço que você esta usando. Ex: coloque na frente ou no meio da sua senha base.
• Adicione a data de quando você alterou a senha na ultima vez e marque no seu calendário

Em outras palavras, use sua vantagem humana: seja criativo e pense fora da caixa!

Segundo relatório da Symantec com dados obeitdos entre julho de 2008 e junho de 2009:

• Os criminosos utilizam táticas de engenharia social para convencer os usuários a instalarem falsos antivírus e sistemas de segurança.
• A contaminação se dá por meio de anúncios falsos de vírus e pragas virtuais em sites com códigos maliciosos.
• Uma das formas utilizadas para espalhar os links perigosos envolve a utilização de técnica para promover os sites falsos nos motores de busca como Google e Bing.
• Os criminosos chegam a comprar até espaço na área de links patrocinados para ganhar mais evidência e credibilidade.
• 93% das instações de software dos 50 principais programas falsos analisados foram feitas com o conhecimento do usuário.
• Até junho de 2009 foram detectados 250 diferentes programas de segurança.
• Esses aplicativos imitam as versões reais de programas populares, mas não fornecem nenhum tipo de proteção.
• Eles são responsáveis por abrir as portas do computador para outras ameaças, como malware e spyware
• Algumas pessoas chegam a ganhar cerca de US$ 330 mil por mês em uma espécie de programa de afiliados. Eles se unem às redes criminosas e ganham uma quantia específica por PC contaminado.

Para evitar esse problema a 4sec Brasil recomenda:

1. Procure soluções de segurança conhecidas, tanto em lojas online quanto fisicas.
2. Pesquise na internet para ver o histórico da ferramenta na internet.
3. Evite clicar em links suspeitos (Só clique quanto tiver certeza).
   
4. Mantenha um firewall e seu antivirus atualizados.

Cuidado com os aplicativos do Facebook, hacker tem usado aplicativos com iframe inserido para executar ataques.

Os seguintes aplicativos foram atacados com certeza:

• CityFireDepartment
• MyGirlySpace
• Ferrarifone
• Mashpro
• Mynameis
• Pass-it-on
• Fillinthe
• Auariumlife

No entanto muitos outros aplicativos podem ter sido atacados.

Não temos previsão de quando a vulnerabilidade no facebook será resolvida. Segundo a AVG será dificil encontrar a brecha.

Amanha dia 13 de Outubro a Microsoft liberará 34 atualizações para sua gama de softwares, entre eles Windows, Internet Explorer, Sql Server, Office, entre outros.

O Windows 7 que ainda não foi lançado oficialmente também já ganha 5 atualizações!

Esta atualização ganha da última maior atualização por 3 atualizações, pois o recorde era de 31 atualizações.

Dentre as atualizações liberadas, muitas são consideradas críticas e devem ser instaladas o quanto antes.

A 4Sec Brasil sempre lembra seus clientes e parceiros que todas as atualizações devem ser instaladas evitando assim que os softwares apresentem problemas conhecidos e gerem desgaste desnessário.

Clique aqui para mais informações.

Google revelou a BBC hojeque o Gmail esta sendo alvo de um "grande esquema de phishing". O problema é semelhante ao que aconteceu com o Hotmail da Microsoft que já foi explicado aqui no blog.

A BBC teve acesso a duas listas que traziam detalhes de mais de 30 mil nomes e senhas que foram postados on-line.

Segundo informações do Google:

"Recentemente, tomamos conhecimento de um grande esquema de phishing através do qual os hackers obtiveram credenciais de usuários para contas de e-mail baseadas na web, incluindo as do Gmail".

"Assim que ficamos sabendo do ataque, forçamos redefinições de senha nas contas afetadas. Continuaremos a forçar essas alterações de senha em contas adicionais quando tomarmos conhecimento delas".

As recomendações de segurança da 4sec Brasil para o problema com o Gmail são as mesmas que demos para os problemas com o Hotmail ou seja:

1. Mude periodicamente suas senhas.
2. Não informe seus dados pessoais nunca por e-mail que não tenha 100% de certeza que sejam confiaveis. Você nunca deve responder um e-mail seja de banco, policia, ou qualquer outra organização com seus dados pessoais.
3. Evite manter informações importantes em contas gratuitas como hotmail, gmail, etc.  Porque você não tem controle sobre a segurança.

Lembramos que a 4sec Brasil oferece para seus clientes infra-estrutura segura para gerenciamento de e-mail no formato nome@suaempresa.com.br. Entre em contato para maiores informações. Muitas empresas usam emails gratuitos para assuntos empresariais, além de falta de segurança não tem aparência profissional.

Uma api da Microsoft chamada CryptoAPI que faz com que certificados falsos de sites supostamente seguros (que usam o protocolo HTTPS) sejam reconhecidos e validados tem uma falha já a quase 3 meses e ainda não foi corrigida.

Essa api é utilizada tanto pelo Internet Explorer como pelo Safari e o Google Chrome.

Alguns hackers estão utilizando esta falha para realizar um tipo de ataque chamado “Man in the middle” no processo de compra do Paypal.

Devido a falha que "valida" o certificado mesmo durante o ataque o Paypal não tem como saber se há alguém entre o usuário e seus servidores. Por outro lado, o usuário também não tem como verificar isso.

A equipe da 4sec Brasil recomenda que até que a CryptoAPI tenha a falha corrigida você utilize o Firefox nas versões acima da 3.0.13 para efetuar compras no Paypal.

O Anti-Phishing Working Group publicou um relatório afirmando que os números de ataques com sucesso estão crescendo de forma alarmante, as técnicas utilizadas e responsavéis por esse aumento são de fishing e scareware.

Segundo o relatório no primeiro semestre de 2009, mais de 485 mil variantes de scareware foram encontradas. A quantidade subiu de 22 mil por mês em janeiro para 152 mil em junho.

4/5 dos ataques a sites oferecem promessas falsas de pagamentos e serviços. As pragas fazem com que os usuários pensem que existe uma ameaça real em suas máquinas. Eles então são forçados a comprar uma solução falsa, o que caracteriza o crime.

De acordo com o estudo, os internautas são contaminados ao navegar por sites com códigos maliciosos. Algumas pragas virtuais são capazes de imitar certificados verdadeiros de segurança.

Como se prevenir??

Tormar cuidado com a navegação, as vezes você pode digitar o endereço errado e por isso acessar um site malicioso pensando que é o correto. Sites pornograficos são campeões em pragas virtuais, evite-os a todo custo.

Nas empresas é importante ter uma politica de acesso e programas que monitores os recursos da rede como oferece o módulo 4sec.

É importante ter sempre o sistema atualizado, isso inclui anti-virus mas não só ele. Atualizações do windows e do navegador web também são essenciais. A maioria das pragas ataca vulnerabilidades que muitas vezes já foram corrigidas. Por isso o uso de windows pirata pode ser prejudicial a sua empresa, porque na maioria das vezes ele esta desatualizado.

A 4sec Brasil conta com equipe especializada que auxilia sua empresa (de qualquer porte) a se prevenir monitorando sua rede e cuidando individualmente das atualizações e brechas de segurança em cada maquina. Entre em contato conosco para maiores informações. Os preços são bastante acessiveis e você vai ficar surpreso com o nível de segurança implementado.

Baixe aqui o relatório.

É preciso baixar a nova versão do iTunes, a 9.0.1 para acabar com a vulnerabilidade crítica que permitica que hackers executassem malware no computador da vitima sobrecarregando arquivos .PLS (execução de playlist).

A vulnerabilidade existia tanto para sistemas operacionais Windows como Mac OS X.

Além da falha de segurança, outros bugs também foram corrigidos, como a estabilidade durante a sincronização de iPods e iPhones.

A atualização tem 83 MB e pode ser executado diretamente do iTunes, através do Software Update System da Apple.

Segundo uma pesquisa realizada pela McAfee só em 2008 o numero de programas criados para facilitar o roubou de senhas cresceu 400% só em 2008.

“Com transações de compras e bancárias ocorrendo principalmente de forma on-line nos dias de hoje, o roubo de senhas tornou-se um crime virtual comum. Independente de qual seja o vetor de ataque, em muitos casos algum tipo de malware para roubo de senhas chega até os computadores das vítimas”, aponta o documento.

Clique aqui para ver o documento da McAfee.

Quais as táticas mais utilizadas?

• Programas que tirar "fotos" das telas e/ou gravam todas as teclas digitas e enviam para o invasor.
• Falsificação de websites confiáveis onde você digita seus dados pensando que esta no site do banco por exemplo, mas esta no site do hacker. O visitante chega a estes sites por links espelhados por virus ou digitando a url errado.
• Semelhante a técnica acima mas exibe pop-ups que solicitam informações pessoais.