Você pode navegar na internet sem nem imaginar a diferença que uma letra do endereço do browser pode fazer. Um ‘s’ separa os protocolos de navegação HTTP do HTTPS. A mudança parece, mas não é nada pequena. O S significa security ou segurança, em português. O HTTPS é o protocolo ou conjunto de regras e códigos com uma camada de segurança que torna a navegação mais segura.

O HTTP não oferece a mesma segurança do HTTPS porque as informações navegam na rede de uma forma muito parecida com a apresentada na tela ou digitadas pelo usuário. Por exemplo, se o usuário digita um login “xxx” e uma senha “1234″, isso é colocado dentro de pacotes de dados que são enviados da mesma maneira pela rede. Alguém pode interceptar esses dados no meio do caminho, contendo exatamente o digitado. Com essas informações, o interceptador pode acessar um site na internet.

“Interceptar pacotes entre a origem e o destino não é muito complicado na internet. Eles passam por diversas redes de uma ponta até a outra, como a rede de nossa casa ou empresa, a rede do nosso provedor, a rede do provedor do sítio web de destino e a rede onde está o servidor que esse sítio, por exemplo. Em qualquer desses pontos um indivíduo mal-intencionado pode encontrar meios de visualizar os pacotes de dados que trafegam. Não é uma tarefa trivial, mas não chega a ser difícil”, segundo Antonio Moreiras, supervisor de projetos do NIC.br (Núcleo de Informação e Coordenação do Ponto BR).

O HTTP tem vulnerabilidades que acabam por prejudicar os usuários. O HTTP não oferece certeza absoluta de que o site acessado é realmente quem diz ser. Um cracker pode interceptar os dados que trafegam e criar um falso sítio de destino, respondendo às requisições do navegador na web. Por exemplo, o usuário pode pensar que está navegando numa loja virtual, mas está, na verdade, interagindo com uma quadrilha que roubará seus dados pessoais, como senhas e números de cartão de crédito.

A função básica entre os HTTPs é igual, ou seja, é usado para permitir que os navegadores na internet dialoguem com os servidores, mas fornece mais segurança em dois aspectos: encripta os dados trafegados, embaralha-os de forma que somente o destinatário pode entendê-los. Esses dados podem ser interceptados, mas não são legíveis para as pessoas ou computadores. “É muito, muito difícil que possam ser decriptados e entendidos por alguma entidade que os intercepte no meio do caminho”, aponta o supervisor.

O HTTPS também garante que o site que o usuário está visualizando é quem diz ser. O dono do local na web cria um certificado, dizendo quem é e submete isso a uma empresa certificadora, que verifica a autenticidade do mesmo e o assina, o endossando. Os navegadores reconhecem as principais empresas certificadoras e aceitam automaticamente os certificados assinados por ela, reconhecendo sua autenticidade e a da página correspondente.

É importante entender que o HTTPS só protege o caminho, não protege as pontas. Ou seja, se o computador ou o servidor da loja virtual forem invadidos ou estiverem comprometidos por ataques de vírus ou outros softwares maliciosos, as informações podem ser comprometidas. “É como contratar um carro-forte para levar dinheiro de uma loja até o banco: isso não garente que a loja não será assaltada, nem garante que o dinheiro não será roubado do cofre do banco”, explica Antonio Moreiras.

Outro ponto importante a ser considerado é a efetividade dos nomes de usuário e senhas utilizadas. É preciso desenvolver senhas pouco previsíveis. Uma senha “1234″, ou com a data de aniversário do usuário, por exemplo, é facilmente descoberta, sem a necessidade do cracker interceptar os dados no meio do caminho.

Em conjunto com o uso do HTTPS, o usuário precisa estar atento à segurança de seu computador principal, com a utilização de antivírus, firewalls, antispywares e outros softwares de proteção. Também é preciso ter cuidado com os sites acessados e e-mails suspeitos, sem contar a criação de senhas fortes, dificultando sua descoberta.

O NIC.br recomenda os seguintes sites, que têm informações sobre segurança na Internet:
http://www.antispam.br
http://cartilha.cert.br Fonte: WNews ]]> http://www.flexdigital.com.br/wp/?feed=rss2&p=286 0 http://www.flexdigital.com.br/wp/?p=282 http://www.flexdigital.com.br/wp/?p=282#comments Thu, 12 Mar 2009 19:36:17 +0000 admin http://www.flexdigital.com.br/wp/?p=282

cforms contact form by delicious:days

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), um dos serviços disponibilizados pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), divulga as estatísticas de relatos enviados espontaneamente por administradores de redes e usuários envolvendo redes brasileiras em 2008. Os dados de incidentes reportados ao grupo podem ser consultados em http://www.cert.br/stats/incidentes/.

O total de notificações recebidas no período foi de 222.528, um aumento de 39% em relação a 2007. Tentativas de fraude somaram 140.067 relatos, representando um crescimento de 209% em relação ao ano anterior. Somente no quarto trimestre do período analisado, foram reportados 87.945 incidentes dessa categoria. O aumento das tentativas de fraude está relacionado, principalmente, ao crescimento de eventuais notificações de quebra de direitos autorais por meio da distribuição de material pirata em redes P2P (Peer-to-Peer). Em 2008, esse tipo de abuso específico alcançou 108.242 notificações, correspondendo a um crescimento de sete vezes em relação a 2007.

Os casos de páginas falsas de bancos (phishing tradicional) aumentaram 124%, comparados a 2007. O foco principal desse tipo de fraude foram os websites de instituições financeiras brasileiras, com aumento de 266% em relação a 2007. Cavalos de tróia, utilizados para furtar informações e credenciais, apresentaram um decréscimo de 6% entre o quarto trimestre de 2008 e o mesmo período do ano anterior.

Assim como em 2007, as notificações de ataques a servidores Web aumentaram, registrando um avanço de 149%. ?O objetivo desse tipo de ataque é explorar vulnerabilidades em aplicações e, em alguns casos, hospedar cavalos de tróia utilizados para fraudes?, relata Cristine Hoepers, analista de segurança do CERT.br. Situações envolvendo códigos maliciosos em documentos HTML, como páginas Web e e-mails contendo trechos em linguagens como JavaScript e VBScript, mantiveram-se estáveis ao longo de 2008. ?Manter softwares sempre atualizados e desabilitar a execução de scripts no browser ou leitor de e-mail, por exemplo, são recomendações para evitar que esse tipo de código seja instalado no computador?, ressalta Cristine.

As notificações referentes a varreduras chegaram a 43.822, um aumento de 27%. Continua sendo grande a procura por serviços que possam sofrer ataques de força bruta, como SSH, FTP e TELNET. O serviço mais procurado foi o SSH, com 51% das notificações de varreduras do quarto trimestre de 2008, chegando a 57% do acumulado anual.

Sobre o CERT.br
O CERT.br é o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Desde 1997, o grupo é responsável por tratar incidentes de segurança envolvendo redes conectadas à Internet no Brasil. O Centro também desenvolve atividades de análise de tendências, treinamento e conscientização, com o objetivo de aumentar os níveis de segurança e de capacidade de tratamento de incidentes no Brasil. Mais informações em http://www.cert.br/.

Sobre o Núcleo de Informação e Coordenação do Ponto BR – NIC.br
O Núcleo de Informação e Coordenação do Ponto BR — NIC.br (http://www.nic.br/) é uma entidade civil, sem fins lucrativos, que implementa as decisões e projetos do Comitê Gestor da Internet no Brasil. São atividades permanentes do NIC.br coordenar o registro de nomes de domínio — Registro.br (http://www.registro.br/), estudar, responder e tratar incidentes de segurança no Brasil – CERT.br (http://www.cert.br/), estudar e pesquisar tecnologias de redes e operações — CEPTRO.br (http://www.ceptro.br/), produzir indicadores sobre as tecnologias da informação e da comunicação — CETIC.br (http://www.cetic.br/) e abrigar o escritório do W3C no Brasil (http://www.w3c.br/).

Sobre o Comitê Gestor da Internet no Brasil – CGI.br
O Comitê Gestor da Internet no Brasil coordena e integra todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Mais informações em http://www.cgi.br/.

NIC.br – Núcleo de Informação e Coordenação do Ponto BR
Fonte: NIC.br

Cuidado! Eles estão atrás de sua senha do banco, dos números dos seus cartões de crédito e de outras informações financeiras. Os golpes por e-mail estão se tornando cada vez mais sofisticados. Há alguns anos, os criminosos virtuais tinham como objetivo infestar o maior número de internautas que conseguissem, danificando instalações de software. Hoje, eles querem dinheiro das vítimas, que clicam em links e abrem anexos em mensagens duvidosas de correio eletrônico.

Cada vez mais, os golpes estão relacionados com atualidades. “Eles aproveitam um grande desastre, como as enchentes no sul do Brasil ou um furacão na China, para atrair a atenção do internauta”, explicou Eduardo Godinho, engenheiro de Segurança da Trend Micro, empresa especializada em defesas contra ameaças na internet.

Outra isca comum são celebridades. A Trend Micro fez uma pesquisa mundial sobre as pessoas mais citadas nos golpes via e-mail e a primeira da lista foi a atriz Angelina Jolie. Nos últimos dias, tem circulado pela internet brasileira uma mensagem, que tenta imitar uma notícia do site G1, dizendo que o jogador Ronaldo tem uma doença grave. Quem clica no link para a notícia falsa tem o computador infectado.

“As pessoas têm de tomar cuidado sempre com e-mails estranhos”, afirmou Cristina Sleiman, especialista em Direito Digital e sócia do escritório Patrícia Peck Pinheiro Advogados. “Mesmo se o internauta conhecer o remetente, é importante prestar atenção se a mensagem tem um assunto sobre o qual costumam conversar.”

Existem requisitos de tecnologia – manter atualizadas as versões dos programas e utilizar software de segurança, como antivírus e firewall – que são essenciais, mas não suficientes. A segurança digital depende do comportamento do usuário. “Muitos ataques acontecem na empresa, porque o usuário se sente mais seguro para clicar nos links ou abrir anexos, porque na empresa existe um suporte técnico pronto para resolver problemas”, disse Godinho. Mas, na maioria das fraudes, a vítima só percebe que aconteceu alguma coisa depois do prejuízo financeiro.

Os ataques estão cada vez mais inteligentes. Existem sites mal-intencionados que verificam o sistema operacional e o navegador do internauta, ajustando o ataque de acordo com a plataforma tecnológica. Alguns tipos de software usados nos ataques identificam os sites de bancos e de comércio eletrônico mais visitados pela vítima, para disparar e-mails que se fazem passar por esses sites.

No ano passado, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br) recebeu 222.528 relatos de incidentes na internet, enviados espontaneamente por administradores de rede e usuários. Houve um crescimento de 39% em relação a 2007. Do total de ataques, 63% foram fraudes. Os casos de páginas falsas de bancos aumentaram 124%. “Para se proteger de fraudes online, é necessário que os usuários encarem a internet com o mesmo cuidado com que encaram qualquer atividade fora da internet”, afirmou Cristine Hoepers, analista de Segurança do CERT.br. “É muito importante ficar atento e, em caso de dúvida, checar com as instituições a veracidade das mensagens.”

O QUE FAZER

Tecnologia: Manter sempre atualizados o sistema operacional e outros softwares, como os navegadores; instalar e manter atualizado um bom programa antivírus; e instalar um firewall pessoal, que impede invasões via rede

Comportamento: Não acessar sites ou seguir links recebidos por e-mail ou presentes em páginas sobre as quais não se saiba a procedência; não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas; jamais executar programas de procedência duvidosa ou desconhecida; verificar a autenticidade das informações no site da instituição financeira, loja virtual ou governo

Depois do ataque: Registrar boletim de ocorrência e informar à instituição financeira sobre o golpe de que foi vítima .

Fonte: O Estado de São Paulo

De acordo com o gerente de engenharia de sistemas da Symantec, Paulo Vendramini, é possível dizer que “alguém querendo se dar bem com um dado sigiloso corresponde a apenas 5% dos problemas”. “O restante, é falta de treinamento”, explica.

Conheça os 8 erros de segurança mais comuns cometidos pelos funcionários nas empresas.

Acessar Wi-Fi público
Muitos funcionários não sabem que, quando ingenuamente conectam seus notebooks ou smartphones a uma rede aberta, todos os seus dados transitam sem proteção.

“Ali, não há criptografia ou proteção. Eu poderia até usar uma ferramenta para ficar ‘escutando a rede’”, afirma o gerente de segurança da Trend Micro, Eduardo Godinho. “Ou seja, se você acessou seu e-mail, o nome de usuário e senha trafegarão livremente na rede do aeroporto, por exemplo”.

A solução, caso o funcionário precise trabalhar nestes momentos, acessando Wi-Fi público, seria a empresa fornecer uma espécie de chave de segurança para o equipamento, segundo o gerente da Trend Micro.

Salvar dados online ou em mídias removíveis
Se a pessoa não tem um notebook da empresa, ela pode salvar arquivos no pen drive, CDs ou em aplicativos online.

“Ela não sabe se pode ou não fazer isso, e a máquina onde a mídia for usada pode estar contaminada ou o dado ser roubado”, expõe Godinho.

Além de colocar em risco as informações confidenciais da empresa, os funcionários podem contaminar o PC corporativo um código malicioso adquirido na máquina impropriamente utilizada.

Encaminhar arquivos para e-mail pessoal
Mesmo sem a intenção de burlar políticas de segurança, o usuário muitas vezes quer aproveitar um dado para usar depois, e daí o erro. “Ali, geralmente ele sai de uma estrutura segura criada, como uma Virtual Private Network (VPN)”, aponta Vendramini.

Clicar em links maliciosos
Caso a empresa não imponha limites de navegação aos seus funcionários, é comum a prática dos mesmos saírem clicando por aí, sem avaliar a procedência dos links.

“Alguns usuários dizem que, se recebem algo que desperte dúvida sobre ser malicioso ou não, eles preferem clicar na empresa, pois alegam que ali é mais seguro porque há antivírus e firewall instalados”, diz Godinho.

Segundo o gerente regional da Kaspersky Labs no Brasil, Eljo Aragão, um relatório do FBI aponta que “40% das empresas entrevistadas investem menos de 1% do budget voltado à segurança da informação na educação dos usuários”.

Por isso, “é preciso de fato definir o que pode ou não, incluindo regras para uso de e-mail, e mostrar por que há um monitoramento ou bloqueio”, aponta Aragão.

Navegação pessoal demais
A maioria dos funcionários não vê problemas em pagar uma conta pelo bankline ou acessar alguns sites, como redes sociais e lojas virtuais, durante o expediente.

Godinho cita o exemplo de uma usuária que costumava acessar com frequência um site de cosméticos, e que um spyware instalado em sua máquina detectou este hábito.

“O cracker criou um phishing especial, dizendo que ela ganharia alguns cosméticos por ser cliente preferencial, e pediu seus dados para cadastro”, conta.

O golpe é típico, mas afetou a empresa porque ela tinha acesso a sua conta bancária, informações que foram roubadas junto aos seus dados pessoais.

Cuidar mal de senhas
Aragão conta que os usuários não percebem, muitas vezes, que nas empresas cada funcionário ganha sua própria senha no sistema para mantê-la em segredo.

“Se eles compartilham, pode haver o acesso a dados que não são da competência do outro”, exemplifica o executivo da Kaspersky.

Vendramini lembra também que é preciso configurar a ativação de senhas para o bloqueio veloz de aparelhos móveis, como smartphones. “Afinal, o dispositivo não precisa ser necessariamente roubado, mas pode ter sido deixado em cima da mesa ao ir para o banheiro, e um e-mail com dados importantes ser encaminhado sem autorização”, exemplifica.

Usar PCs desconhecidos
Ao manipular dados sigilosos, é preciso ficar atento com o meio de acesso. Abrir um e-mail com informações da empresa em um PC de Lan House, por exemplo, é definitivamente má ideia, segundo Vendramini.

“Evite os computadores públicos, use a máquina da empresa ou o PC de casa, nos quais você conhece o nível de segurança”, resume.

Aragão lembra que a empresa deve incentivar que o computador do usuário seja seguro. “Para a máquina de casa, o que as empresas podem fazer é adquirir licenças para o uso doméstico, que não é exatamente o mesmo software de segurança da rede dela.”

Burlar o bloqueio de aplicativos
Hoje é comum que os usuários ignorem as ordens da empresa relacionadas aos limites de acesso – como bloquear redes sociais e comunicadores instantâneos.

“Com ferramentas de web proxy, você acessa o que quer usando um servidor de proxy, que não é o da empresa”, explica Godinho.

O bloqueio de sites não é feito à toa pelas empresas. Em recados deixados no Orkut, por exemplo, são distribuídos vários malwares, em golpes simples que pedem para o usuário ‘clicar para ver fotos’ – e é aí que acontece a contaminação do PC do funcionário.

Fonte:http://idgnow.uol.com.br/seguranca/2009/01/16/conheca-os-8-erros-de-seguranca-que-os-usuarios-mais-cometem-nas-empresas

Um worm conhecido como Conficker, Downandup ou Kido já contaminou mais de 9,5 milhões de computadores no mundo e continua se espalhando com uma velocidade assustadora. A praga se aproveita de falhas no Windows para se espalhar via redes e pen drives e estima-se que esteja contaminando 1 milhão de novos computadores por dia, segundo informou Mikko Hypponen, chefe de pesquisa da F-Secure, empresa especializada em segurança.

O verme foi descoberto em outubro de 2008, quando foi lançada uma correção para o Windows que impedia o Kido de se espalhar. Uma nova variante do vírus, porém, conseguiu se espalhar com rapidez. A praga se instala no computador e abre uma conexão com os computadores dos hackers, que podem controlar a máquina contaminada a distância.

Segundo a F-Secure, o verme é “inteligente” e usa um algoritmo complexo para gerar centenas de endereços web diferentes. Na realidade, o vírus se conecta a apenas um servidor, mas os programas antivírus não conseguem identificar de onde parte o ataque e não conseguem bloquear a ação do Kido efetivamente.

Segundo o especialista de segurança da Kaspersky Lab Eddy Williams, os países com o maior número de computadores infectados são o Brasil, a China, a Índia e a Rússia. Quem tem as últimas atualizações da Microsoft instaladas, porém, não tem tanto a temer, já que a praga é ineficaz em sistemas atualizados.

Fonte:http://idgnow.uol.com.br/seguranca/2009/01/20/praga-virtual-ja-contaminou-mais-de-9-5-milhoes-de-computadores

Funcionários consideram aceitável o uso do computador do trabalho para outros fins, e acham que a prática chamada ‘cyberloafing’ (do inglês “ciberpassa-tempo”) é eficiente para a produtividade, revela um estudo da NUS Business School e da Universidade Nacional de Cingapura.

Dos 191 profissionais entrevistados pelos professores Vivien K.G. Lim e Don J.Q. Chen, 32% responderam que são favoráveis ao cyberloafing – sendo que 34% dos respondentes eram homens.

O estudo revela que os funcionários de Cingapura passam, em média, 51 minutos do dia de trabalho no modo “cyberloafing”.

A troca de e-mails pessoais, instant messaging e o acesso a sites de notícias estão entre as práticas mais citadas pelos funcionários que participaram da pesquisa.

Em geral, os participantes avaliaram certas formas de passa-tempo como aceitáveis no ambiente de trabalho. Eles também consideram que o cyberloafing tem um impacto positivo no trabalho.

A pesquisa também mostra que os homens tendem mais aos passa-tempos no trabalho do que as mulheres. “Os homens passam mais de uma hora (61 minutos) por dia praticando o cyberloafing no trabalho, enquanto a média das mulheres é de 46 minutos.”

O uso pessoal da internet no ambiente de trabalho é considerado aceitável para 97% dos homens entrevistados e 85% das mulheres.

A quantidade de tempo com passa-tempos no trabalho considerada aceitável pela maioria dos respondentes era de, no máximo, 1 hora e 15 minutos por dia.

Os resultados também mostram que 75% dos respondentes concordaram com a afirmação de que o “cyberloafing ajuda a tornar o trabalho mais interessante” e 57% disseram que a adesão ao cyberloafing “os ajuda a lidar com problemas práticos e pessoais”. Além disso, 52% concordaram que o “cyberloafing os ajuda a serem trabalhadores mais interessados” e 49% disseram que os passa-tempos os ajudam a lidar com problemas que surgem no trabalho.

Baseados nas conclusões do estudo, os pesquisadores dão o seguinte conselho para as empresas: “Atividades de navegação na internet que ofereçam uma pausa no trabalho podem motivar os funcionários a trabalharem melhor. Diante disso, ao desenvolverem políticas de uso da internet no trabalho, as empresas devem permitir que os funcionários tenham acesso a atividades online, que não estejam somente ligadas ao trabalho.”
Zafar Anjum, editor da MIS, de Cingapura

Fonte:
Por IDG News Service/Ásia
Publicada em 15 de setembro de 2008 às 19h48

http://idgnow.uol.com.br/carreira/2008/09/15/uso-pessoal-da-web-no-trabalho-pode-aumentar-produtividade-diz-estudo