quinta-feira, 4 de fevereiro de 2016

Cyberstalking

Olá pessoal!

Como foram as férias?
Espero que todos tenham aproveitado ao máximo, e desejo um novo ano muito feliz.

Se você foi escoteiro "das antigas" é possível que saiba o significava a expressão stalking.
Eram técnicas de aproximação, semelhantes ao que os caçadores usavam para poderem aproximar-se e abaterem seus alvos.
Ou ainda, a prática ou a habilidade de conseguir aproximar-se de um objetivo sem ser notado, para dele obter o maior número de informações possíveis.


Starkers eram os espiões tradicionais do início do século passado, que usavam uma série de artifícios e técnicas para infiltrarem-se no campo inimigo e obterem informações.
O filme Operação Valquiria mostra um pouco disso.

A internet e o fato de as pessoas, as coisas e o mundo estarem conectados e on-line abriu movas possibilidades para esta atividade, cunhando a expressão cyberstalking.
E para esquentar ainda mais a mistura, constata-se o fato de que as pessoas se expõem voluntariamente no mundo digital a níveis muito altos.
Por algumas vezes aqui no blog nós já falamos disso.
Já sugerimos que você adquira o hábito de procurar por você mesmo na web para ver o que qualquer um poderia encontrar e avaliar o risco que estes dados e informações representam para você mesmo.
Com certa frequência algumas pessoas me perguntam se realmente é possível ser rastreado pela web.
SIM.
É possível.
E não precisa ser nenhum especialista para conseguir um monte de informação sobre pessoas.
Quer um exemplo prático? (os nomes foram trocados por razões óbvias)

Você conhece a "Olivia Soames"?


Eu também não conhecia, mas pesquisando sobre ela descobri o seguinte:
que ela é casada (união estável) com Renan Ikoa, que conheceu em 2006;
mora em Santa Barbara D'Oeste (interior de São Paulo);
completou 25 anos no último dia 19;
fez o ensino médio no Colégio Antares, e formou-se em turismo pela UNIMEP em 2008 (aprovada em 21 no vestibular);
gosta de cozinhar, do U2, de Alanis Mirrissette, e Dave Matthews;
tem uma irmã chamada Jaqueline;
tem uma cocker spainel marrom chamada Dzara;
faz curso de inglês na Michigan;
em 2008 passou 1 mês na cidade de Rosario (Argentina);
em 02/11/2012 esteve no zoológico de Americana (SP);
em 23/04/2011 esteve com o Renan em Alto Paraíso (GO);
em 14/11/2010 no Rio de Janeiro; em 15/02/2010 em Ouro Preto (MG)
encontrei o endereço dela;
encontrei o RG e CPF, e descobri que ela nunca fez declaração de IR;
encontrei o e-mail dela;
encontrei o telefone fixo e celular dela.

Será que não é informação demais exposta?
E se a gente pesquisar sobre você? sua namorada? seu filho?

Daria pra ficar falando um tempão sobre ações para evitar a auto-exposição, evitar o cyberstalking, e outros problemas.
Resolvi deixar somente 3 dicas, e desafio os leitores a contribuir com outras nos comentários.
1 - Localização nas fotos - celulares e câmeras modernos possuem a funcionalidade de adicionar nos arquivos das fotos a sua localização geográfica de latitude e longitude, e com base nisso é possível saber exatamente onde a foto foi feita.
Cuidado com isso!
Por padrão deixe esta funcionalidade desabilitada, e use-a somente quando realmente for precisar dela.
2 - Localização nas mídias sociais - fazer check-in nos lugares por onde se anda virou moda também.
Realmente é necessário publicar toda esta informação?
Vale a pena compartilhar sua localização no Facebook ou Twitter?
3 - Ausência temporária - Este é outro recurso que se for mau usado pode revelar informações sensíveis.
"Estou em férias e volto dia 20/02" significa que provavelmente não tem ninguém na sua casa neste período.
Tem muita gente que manda SPAM vazio só pra pegar de volta as mensagens de ausência temporária.

Cuidado!

Até o próximo!

sexta-feira, 30 de janeiro de 2015

Quem não usa máscaras?


Olá pessoal!

O que é personalidade?
Podemos relacionar com persona... pessoa... e dizer que personalidade são as características psicológicas ou mentais de um indivíduo.
Nesta linha de raciocínio a personalidade seria uma forma de identificação individual das pessoas e cada pessoa no mundo teria uma personalidade única, e a personalidade identificaria psicologicamente da mesma forma que as impressões digitais identificariam fisicamente.
Suyane Elias Comar define a Psicologia da Personalidade como sendo "área que estuda e procura explicar as particularidades humanas que influenciam o comportamento.
A personalidade pode ser definida como o conjunto de características que determinam os padrões pessoais e sociais de uma pessoa, sua formação é um processo gradual, complexo e único a cada indivíduo. No senso comum o termo personalidade é usado para descrever características marcantes de uma pessoa, como “essa pessoa é extrovertida ou aquela menina é tímida” e etc, porém o conceito de personalidade está relacionado as mudanças de habilidades, atitudes, crenças, emoções, desejos, e ao modo constante e particular do indivíduo perceber, pensar, sentir e agir, além da interferência de fatores culturais e sociais nessas características.
Existem muitas teorias que estudam a personalidade, porém uma das mais importantes na história do estudo de personalidade está a de Freud.

Para Freud, o comportamento é resultado de três sistemas que são o Id, o Ego e o Superego. O Id é inato (que nasce com o individuo, congênito) e regido pelo princípio do prazer, exige satisfação imediata dos impulsos, sem levar em conta as consequências indesejáveis. O Ego é uma evolução do Id, pois apesar de conter elementos inconscientes como o Id funciona muito mais a nível consciente e pré-consciente, dessa forma, comandado pelo princípio da realidade, o Ego cuida dos impulsos do Id e muitos dos desejos acabam sendo não satisfeitos, mas sim reprimidos. O Superego contém ideias derivadas dos valores familiares e sociais, por isso é um sistema parcialmente consciente que serve como censor das funções do ego, de onde derivam sentimentos de punição, medo e culpa. Desse modo, podemos considerar o Id como sendo o componente biológico, o Ego como o psicológico e o Superego como o social da personalidade, trabalhando juntos sob a liderança do Ego."

Mas personalidade deriva de persona, que em latim significa máscara. Usada originalmente pelo teatro grego, onde cada ator utilizava uma máscara (persona) que identificava as características psicológicas do personagem.


Sendo o homem um ser social, defende-se então que nós sempre nos expomos e relacionamos em sociedade usando máscaras - pessoalmente acredito que possam até mesmo ser máscaras sobrepostas em camadas - e que em raros momentos de nossa existência nos relacionamos sem máscaras, permitindo a exposição do Id conceituado por Freud.
E o que isso tem a ver com segurança?
O Id é forte, e o Ego precisa de algum espaço para dar vazão a ele, sob pena de ser sobrepujado e "invadido" em momentos inapropriados.
Acredito que, curiosamente, as pessoas desenvolvem um certo sentimento de anonimato e privacidade quando estão atrás de uma tela de computador ou smartphone, e o ecossistema criado por estes sentimentos permite ao Ego dar espaço ao Id, ou seja, permite que o indivíduo possa ser visto sem máscaras, ou pelo menos com menos camadas de máscaras.


Isso justifica o apego e zelo que temos para com nossos smartphones e computadores, chegando ao ponto de chamarmos o computador corporativo que usamos no trabalho de "meu computador".
É por isso que pode-se conhecer mais profundamente e "explicar as particularidades que influenciam o comportamento" de uma pessoa analisando cientificamente seu computador ou celular.
Nós nos expomos em um computador ou smartphone e as máscaras caem.
No ano passado a Polícia Federal deflagou pelo menos 33 operações de combate à pedofilia (Parajás II, Adoletá, Infância Segura II, Darknet, Astreia, Infância Digna II, Criança Segura, Arlequin II, Trust, Infância Digna, Fantasia, Kame, Silêncio dos Inocentes I II e III, Resgate Online, Vacilo, Sonho Perdido, Infancia Violada, Anjo da Guarda, Fake Friend, Proteja Brasil, Infância Perdida, Anjos na Rede, Hemera, Pureza, Safer Net, Anjos Proibidos, Perigo Online, Net Control, Balão e Pequenos Mártires) resultando em 109 prisões.
Em absolutamente toas estas operações foram apreendidos computadores, smartphones, pendrives, e diversos outros dispositivos de armazenamento.
E isso é como um balde de caranguejos, em que você puxa um pela perninha e vem mais uma dúzia agarrados nele, pois analisando o smartphome de um pedófilo você descobre outros tantos.
Antigamente o pedófilo armazenava conteúdo em fotos ou fitas de vídeo e quando você puxava o caranguejo do balde só vinham 2 ou 3 agarrados nele e além disso era fácil eliminar evidências e manter as máscaras.
E não adianta apagar a fotinho recebida no Whatsapp. Com técnicas forenses o perito vai resgatar fotos que você nem lembrava mais que tinha visto.
Mas viu... e armazenou... e a lei diz que também é pedófilo aquele que produz, transmite e armazena conteúdo com pornografia infantil.
E é ai que as máscaras caem, pois descobre-se professores pedófilos, religiosos pedófilos, juízes pedófilos, policiais pedófilos e todo o tipo de gente que esconde uma personalidade (Id / Ego) doentia atrás de uma linda e respeitável máscara.

Mas isso é normal, afinal... Quem não usa máscaras?


Até o próximo!

terça-feira, 4 de dezembro de 2012

Ser estrela tem seu preço...


Olá pessoal!

Quantas pessoas estariam interessadas em fotos "mais apimentadas" da vizinha do sexto andar?
O prédio todo?
O quarteirão todo?

E nas fotos da Carolina Dieckmann?
Seguramente milhares de pessoas mais. Mesmo se a vizinha do sexto andar for mais bonita do que a Carolina Dieckmann.

Pois é... é o preço da fama.

E quanto vale uma vulnerabilidade no Corel WordPerfect Office X5?
Perai.
Você sabia que existe um mercado que comercializa vulnerabilidades... certo?
Não?!?!
Vamos explicar rapidinho.

Imagine que você descobre que se criar um site cujo conteúdo tenha uma sequencia especial de comandos que faz com que você ganhe acesso nos computadores das pessoas que visitam seu site usando o Chrome.
Em termos técnicos, o que você descobriu é um 0day, ou seja, uma vulnerabilidade nova e sem correção.
Você tem 2 caminhos:
Moral e ático seria notificar o fabricante informando do problema.
Mas tem muita gente que coloca à venda sua descoberta.

Voltando à pergunta anterior, quanto vale uma vulnerabilidade no Corel WordPerfect Office X5?
Provavelmente tanto quanto as fotos da vizinha do sexto andar.
Muito pouca gente usa ou conhece este software.
Mas e se a vulnerabilidade for no Windows8?

A empresa francesa Vupen, que intitula-se "o principal fornecedor de inteligência defensiva e ofensiva de segurança cibernética", descobriu recentemente uma falha no Windows8/Internet Explorer10, e postou no Twitter que a vulnerabilidade estaria "disponível para o mercado".
Você achou isso... indecente?
Pois o diretor da empresa, Chaouki Bekrar, twitou o seguinte: "Se você acha feio não informar aos fabricantes sobre vulnerabilidades de seus produtos, invista anos e milhões em pesquisa, informe de graça o que você descobrir, e depois venha me falar como você se sente".

Também não é segredo pra minguem que quem mais tem interesse em vulnerabilidades, principalmente as 0day, é gente mal intencionada.
Não sabia?!?!
Imagine que com aquela vulnerabilidade que você descobriu seja possível "plantar" nas máquinas um programinha que faça o que você mandar. Isso tecnicamente chama-se botnet. Uma rede de robôs ou zumbis a serviço de alguém, que dependendo do tamanho pode valer muito dinheiro.
Uma botnet grande mas simples, apenas para atacar e derrubar um site, não sai por menos de US$1000,00 por dia, enquanto outra com a qual se possa fazer fraudes financeiras nunca custa menos de US$2500,00.

O brasileiro, pesquisador da Kaspersky, Fabio Assolini publicou meses atrás que este comércio de serviços é muito comum no crime organizado brasileiro. As negociações mais comuns envolvem a venda de novos trojans desenvolvidos por coders, a venda de “infos” coletadas por spammers ou de trilhas de “CCs” (cartões de crédito) clonados por carders. É comum também a existência de escolas on-line criadas para treinar cibercriminosos novatos, e até mesmo um tipo de “SPC” para registrar a reputação entre os negociantes. Seguindo essa tendência, surgem os primeiros serviços de criação de malware personalizados, chamados de MaaS (Malware as a Service), cuja oferta é bastante comum entre cibercriminosos do leste europeu.

E a pressão do mercado faz com que estes serviços foquem em novos públicos.
Vejam o que se encontra por ai...



Bom pessoal, fica a dica:
Não existe mais aqueles vírus "inocentes" que apagam arquivos, formatam o disco, ou ejetam o CD; o negócio agora é movido por dinheiro... muuuuito dinheiro, e eles estão de olho no seu...

Até o próximo!

sexta-feira, 5 de outubro de 2012

Vida online

Olá pessoal!

Uma entidade ligada ao sistema bancário belga criou uma campanha de conscientização sobre segurança da informação.

Foi montada uma tenda no centro de Bruxelas e contratado "Dave", um ator, para desempenhar o papel de um mago místico com o poder de ler a mente das pessoas, e extrair de lá coisas que nem mesmo elas lembram.
Tudo simulava a gravação de um novo programa de TV no qual Dave - o mago, seria a atração principal, e as pessoas na rua eram convidadas a participar.


Reflita um pouco e responda:
O que o Dave, ou a turma de trás da cortina, conseguiria extrair de sua mente se você entrasse na tenda?

Até o próximo!

segunda-feira, 24 de setembro de 2012

Vulnerabilidades


Olá pessoal!

Diz-se que a perfeição é algo que pertence ao mundo divino e não ao humano, e que nossas lógicas são sempre falhas, pois não temos o conhecimento pleno de tudo (a oniciência também é um atributo divino)
Concordo.
E você?



Se você também concorda, podemos afirmar que tudo o que nós, humanos, fazemos é falho, ou contém falhas.
E os programas que fazemos também.
Todos.
Sem exceção.
Costumo dizer que encontrar estas falhas é questão de tempo e motivação.

Sendo então a condição falha dos programas uma realidade, é preciso levantar duas situações:
- como os responsáveis pelo software respondem às falhas descobertas?
- como podemos nos proteger de falhas não corrigidas?

Vamos analisar 2 casos?

Em 22/12/2010 a Microsoft emitiu um comunicado reconhecendo uma falha no Internet Explorer que permitia execução remota de código, ou seja, alguém poderia executar qualquer comando remotamente em uma máquina, e para isso era necessário apenas que esta máquina acessasse um site especialmente preparado para explorar a vulnerabilidade.
Em 08/02/2011 a Microsoft publicou um boletim de segurança contendo a correção para esta falha, e todas as pessoas que instalassem esta correção não estariam mais vulneráveis.
O Internet Explorer permaneceu vulnerável por 47 dias, certo?
Errado.
Esta mesma vulnerabilidade havia sido noticiada em 14/10/2010 por uma entidade chamada CVE, então o número sobe de 47 para 115.
Deixamos ainda de computar o tempo em que esta vulnerabilidade não foi divulgada no CVE, e era de conhecimento apenas de um grupo (talvez mal intencionado...).
Em 08/12 já havia um código (programa) disponível para qualquer pessoa explorar esta vulnerabilidade.

Quer um caso mais recente?
Vamos lá.

Eric Romang descobriu arquivos suspeitos num servidor em 14/09 e publicou dia 16/09 em seu blog a vulnerabilidade.
A 1 semana atrás (17/09/2012) a Microsoft emitiu um comunicado reconhecendo a falha no Internet Explorer que permitia execução remota de código, e neste mesmo dia já havia um código (programa) disponível para qualquer pessoa explorar esta vulnerabilidade.
O CVE publicou mais informações no dia seguinte (18/09).
Dia 19/09 a Kaspersky disponibilizou atualização de seu produto que bloqueia acesso a sites que contenham código para explorar a vulnerabilidade.
Segundo a agencia StatCounter 41% dos internautas americanos estão vulneráveis. Entre 17/09 e 21/09, a solução apontada pelos pesquisadores para o problema foi: Temporariamente use outro navegador.
Dia 21/09 a Microsoft publicou uma correção para a vulnerabilidade.

Lembra das duas questões que propusemos antes?
- como os responsáveis pelo software respondem às falhas descobertas?
- como podemos nos proteger de falhas não corrigidas?
Vou arriscar algumas respostas.
Os responsáveis têm se tornado mais responsáveis. Percebo que as grandes empresas de software, em geral, têm tratado as vulnerabilidades com mais agilidade, mas as boas empresas com foco em segurança são ainda mais ágeis, e oferecem medidas mitigatórias ou de contenção mais rapidamente.
E para se proteger das falhas a receita não muda:
- Atualize tudo, sempre, e o mais rápido possível;
- Tire o seu da reta, ou seja, evite usar programas que estão na mira dos códigos maliciosos, não seja parte do alvo;
- Esteja atento à divulgação de falhas e vulnerabilidades.

Até o próximo!

quinta-feira, 6 de setembro de 2012

Segurança nas Redes Sociais

Olá Pessoal!

Acho que já falamos aqui do CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brsil) não é?
Pois recentemente eles lançaram uma nova cartilha com foco em segurança nas mídias sociais.
A abordagem, como nas demais cartilhas, é muito boa, e passa dicas simples e funcionais para orientar os usuários a protegerem sua privacidade e segurança no mundo das redes sociais.
O documento evidencia algumas diferenças importantes entre as redes sociais e outras mídias de comunicação, tais como:


  • a rápida velocidade com que as informações se propagam;
  • a grande quantidade de pessoas que conseguem atingir;
  • a facilidade de acesso;
  • a grande quantidade de informações pessoais que apresentam;
  • a dificuldade de exclusão e controle sobre as informações divulgadas;
  • o tempo em que as informações ficam disponíveis.

O fato de que os usuários são propensos a um nível de confiança mútua elevado, e a enorme popularidade que este tipo de mídia alcançou, despertou a atenção, também, de pessoas mal-intencionadas.
A cartilha identifica como principais riscos os seguintes:
  • Invasão de privacidade, de perfil e/ou furto de identidade
  • Vazamento e/ou uso indevido de informações
  • Danos à imagem e à reputação
  • Recebimento de mensagens contendo códigos maliciosos ou phishing
  • Instalação de programas maliciosos
  • Acesso a conteúdos impróprios ou ofensivos
  • Contato com pessoas mal-intencionadas
  • Disponibilização de informações para criminosos, que as podem usar em tentativas de sequestro ou para furto de bens
E continua dando várias dicas para proteger-se deles, salientando que:
  • após uma informação se propagar, não há como controlá-la e aquilo que era para ser uma brincadeira entre amigos pode ser acessado por outras pessoas e usado contra você, agora ou futuramente (na internet não existe Shift+Del).
  • para proteger a privacidade, muitas pessoas tomam cuidados extras e optam por não usar redes sociais, e por isso mesmo, elas podem não gostar que você comente ou repasse informações sobre a vida delas (se for postar foto de alguém peça autorização).
  • proteja o seu perfil, pois contas em redes sociais são muito visadas para a disseminação de códigos maliciosos e phishing.
  • proteja também seu computador, e isso é importante não apenas para o acesso às redes sociais, mas também para proteger seus dados e tudo que você faz usando ele.
  • se tiver filhos ou crianças próximas, é muito importante que você os oriente sobre os riscos de uso das redes sociais, para que eles saibam se proteger.
  • aquilo que você divulga ou que é divulgado sobre você pode ser acessado por seus chefes e companheiros de trabalho, além de poder ser usado em um processo seletivo futuro que você venha a participar.
  • é importante que alguns cuidados sejam tomados para que a participação nas redes sociais seja algo proveitoso e não algo que possa vir a ser usado contra a própria empresa.
E já que o assunto é mídias sociais e privacidade, deixo a dica de um produto da Secure.me.
Trata-se de um site e um plugin com o intuito de tornar os usuários do Facebook cientes das informações pessoais que serão colhidas pelos aplicativos.
O site possui informações de mais de 500 mil aplicativos do Facebook e descreve os dados do usuário coletados por eles.
O plugin é uma extensão para os navegadores Safari, Firefox e Chrome, que é ativada quando usuários entram em páginas de aplicativos do Facebook, e exibe um alerta pop-up que informa aos usuários a reputação do aplicativo e uma opção para informações mais detalhadas.

Até o próximo!

segunda-feira, 11 de junho de 2012

StuxNet - novidades sobre o caso

Olá pessoal!

Este blog tem como objetivo básico trazer temas e dicas úteis ao dia-a-dia das pessoas.
Então vou pedir desculpas para voltar a um tema que está um pouco afastado deste objetivo (será?).
Talvez alguns de vocês tenham lido algo sobre o StuxNet.
Pois surgiram fatos novos no cenário.

Em 01/06 o New York Times publicou uma matéria com título "Obama ordena onda de ciberataque contra o Irã", reforçando com dados ainda mais concretos (mas sem citar fontes) que o StuxNet foi desenvolvido pelos EUA, com apoio de Israel.
Eu sempre comento que não existe software perfeito. Todos têm vulnerabilidades, mesmo os malwares, e mesmo o StuxNet!
Era pra ele ter ficado quietinho lá nos PLCs de Natanx, mas por alguma falha... ele acabou escapando, infectando e aparecendo em outros computadores... sendo detectado... e tornando-se público em Junho de 2010.
Inicialmente ninguém assumiu a "paternidade", mas em Fevereiro de 2011 Gavriel Ashkenazi, comandante geral do exército de Israel, em seu discurso de aposentadoria, deixou claro, com orgulhou, que havia dedo seu no StuxNet.

Mas parece que o filho tem 2 pais.

A operação que gerou o StuxNet foi batizada em 2006 de "Jogos Olímpicos", ainda no mandato de George Bush, e teria sido apresentada ao presidente pelo General James E. Cartwright.
Segundo a reportagem, foi desenvolvido antes do StuxNet um outro malware cujo objetivo era somente mapear a infraestrutura de Natanx, fornecendo informações preciosas para o sucesso do StuxNet, que foi inclusive testado em uma réplica de Natanx construída em solo americano, usando os mesmos modelos de equipamentos usados pelos iranianos.
O sucesso dos testes foi comprovado pelos destroços da centrífuga apresentados a George W. Bush.
A respeito da dificuldade em fazer com que o malware fosse inserido na rede interna da Natanx, um dos envolvidos no planejamento disse "Há sempre um idiota por ai com um pendrive na mão", ou seja, O STUXNET ENTROU EN NATANX ATRAVÉS DE UM PENDRIVE.

A reportagem do New York Times revela que Bush teria recomendado a Obama especial cuidado e investimento em 2 programas secretos: The Drome (responsável pela queda de Bin Laden), e Olimpic Games.

E assim foi feito, até o dia em que o bicho escapou da cela.

A reportagem revela que um dos engenheiros iranianos teve seu notebook contaminado ao plugá-lo na rede das centrífugas, e quando voltou para a internet, o malware falhou em reconhecer a troca de ambiente, causando a disseminação do código pelo mundo, e a consequente identificação pelos antivírus.
É claro que a culpa sempre é dos outros...
Os assessores do presidente Obama disseram que os israelitas haviam alterado o código do malware intempestivamente, inserindo a vulnerabilidade e causando o "vazamento".

Bom, vamos ficar por aqui porque o assunto vai longe.
Quem quiser pode ler a reportagem completa em inglês aqui.
Mas é importante fazer algumas reflexões...

Quando se fala de infraestrutura, atualmente TUDO está conectado e pode ser controlado por computadores.
Desde os sistemas de água, luz e telefonia, até outros como portas das prisões, linhas de produção das fábricas, UTI de hospitais, carros, sistema financeiro, etc.
E mesmo os sistemas mais complexos de segurança, estão expostos à estupidez humana.

Como foi citado acima, sempre há um "sem noção" com um pendrive na mão.
Não vou dizer que seria impossível, mas seria muito, mas muuuuuuuuito mais difícil inserir o StuxNet en Natanx sem contar com a vulnerabilidade presente nas pessoas.

Enquanto houver um único usuário que clique no link de um SPAM, ou em cada botão "Yes", "Executar" ou "Aceitar" que aparecer, toda a parafernália tecnológica de segurança estará seriamente comprometida, e as janelas de vulnerabilidade continuarão a ser enormes.
Então, prezados leitores, redobrem os cuidados e mantenham-se atualizados.
Fale do assunto com os colegas, com sua família e amigos.
Não seja VOCÊ mais uma janela de vulnerabilidade.

Até o próximo!