regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quinta-feira, 31 de julho de 2014

"A criptografia é a parte fácil. Difícil é desenvolver um produto que as pessoas realmente vão usar "


The encrypted calling app Signal. The two seemingly random words beneath the contact’s name are meant to be read out at the beginning of a conversation to make sure no man-in-the-middle snoop has eavesdropped on the call. WIRED

If you’re making a phone call with your iPhone, you used to have two options: Accept the notion that any wiretapper, hacker or spook can listen in on your conversations, or pay for pricey voice encryption software.

As of today there’s a third option: The open source software group known as Open Whisper Systems has announced the release of Signal, the first iOS app designed to enable easy, strongly encrypted voice calls for free. “We’re trying to make private communications as available and accessible as any normal phone call,” says Moxie Marlinspike, the hacker security researcher who founded the nonprofit software group. Later this summer, he adds, encrypted text messaging will be integrated into Signal, too, to create what he describes as a “single, unified app for free, easy, open source, private voice and text messaging.”

Signal encrypts calls with a well-tested protocol known as ZRTP and AES 128 encryption, in theory strong enough to withstand all known practical attacks by anyone from script-kiddy hackers to the NSA. But WIRED’s test calls with an early version of the app, after a few false-starts due to bugs that Marlinspike says have now been ironed out, were indistinguishable from any other phone call. The only sign users have that their voice has been encrypted is a pair of words that appear on the screen. Those two terms are meant to be read aloud to the person on the other end of the call as a form of authentication. If they match, a user can be sure he or she is speaking with the intended contact, with no man-in-the-middle eavesdropping on the conversation and sneakily decrypting and then re-encrypting the voice data.

Like any new and relatively untested crypto app, users shouldn’t entirely trust Signal’s security until other researchers have had a chance to examine it. Marlinspike admits “there are always unknowns,” such as vulnerabilities in the software of the iPhone that could allow snooping. But in terms of preventing an eavesdropper on the phone’s network from intercepting calls, Signal’s security protections are “probably pretty great,” he says.

After all, the technology behind Signal isn’t exactly new. Marlinspike first took on the problem of smartphone voice encryption four years ago with Redphone, an Android app designed to foil all wiretaps. Signal and Redphone both use an encryption protocol called ZRTP, invented by Philip Zimmermann, the creator of the iconic crypto software PGP.

Zimmermann has developed his own iPhone implementation of ZRTP for his startup Silent Circle, which sells an iPhone and Android app that enables encrypted calls and instant messaging. But unlike Open Whisper Systems, Silent Circles charges its mostly corporate users $20 a month to use its closed-source privacy app. Signal offers the same services gratis, making it the first free encryption app of its kind for iOS.

Since Silent Circle users are limited to calling only contacts with the same paid software installed, its practicality for non-business users has been limited. Though Signal and Redphone users similarly can’t make encrypted calls to users without Open Whisper Systems apps installed, they can make secure calls from one app to the other, a feature that will make both Android and iOS-encrypted calling apps vastly more practical. Marlinspike notes that journalists hoping to communicate privately with a source, for instance, would have a difficult time convincing them to shell out for an expensive subscription app. “If you want the ability to, in principle, call anyone securely, it really has to be free,” says Christine Corbett Moran, one of the lead volunteer coders on Signal.

Instead of taking the for-profit startup route, Open Whisper Systems will instead by funded by a combination of donations and government grants. Marlinspike says the project has received money from the free-software-focused Shuttleworth Foundation and the Open Technology Fund, a U.S. government program that has also funded other privacy projects like the anonymity software Tor and the encrypted instant messaging website Cryptocat.

That government funding is ironic given the last year’s boost in encryption interest from the Snowden Effect: Open Whisper Systems argues, like other encryption projects, that the eavesdropping countermeasures Signal and its Android counterpart provide are more important than ever in the wake of Snowden’s year of revelations of blanket spying by the NSA. “When I call the United States I’m hearing more and more self-censorship—relatives in the U.S. saying, ‘I’d rather talk about this in person,’” says Moran, who is pursuing a PhD in Astrophysics at the University of Zurich. “That’s not a climate anyone should have to live in.”

Open Whisper Systems’ founder Marlinspike has been a fixture of the security and cryptography community for years, demonstrating groundbreaking hacks like ones that revealed vulnerabilities in the Web encryption SSL and Microsoft’s widely used VPN encryption MS-CHAPv2. He co-founded the San Francisco-based startup Whisper Systems in 2010 with the intention of hardening the security of Google’s Android and providing tools for encrypted communications. But that work took a hiatus when Whisper Systems was acquired by Twitter in late 2011.

While Marlinspike worked a stint as a Twitter security engineer, however, Whisper’s apps were open-sourced and increasingly adopted around the world. Today, he says Redphone and Whisper’s encrypted text messaging app for Android called Textsecure have been installed on hundreds of thousands of phones, the majority of which are outside the United States. Users in China, Iran, and the Middle East have adopted the services to evade their intrusive governments’ surveillance techniques. The apps got another boost when Whatsapp, which has an especially large user-base in Europe, was acquired by Facebook, spooking many of its privacy-conscious users. “For people around the world, providing credible alternatives to not be spied on by their governments is very important for freedom,” says Moran.

Whisper’s iOS app is intended to be equally global. The group has set up dozens of servers to handle the encrypted calls in more than 10 countries around the world to minimize latency.

In fact, Marlinspike says that call quality and ease of use are two of the top priorities for Open Whisper Systems: Clunky encryption programs like PGP, no matter how secure they may be, don’t get used. “In many ways the crypto is the easy part,” he says. “The hard part is developing a product that people are actually going to use and want to use. That’s where most of our effort goes.”

As Moran says, the best encrypted app is one where the security is nearly invisible. “You don’t want to have to think about whether to use cryptography,” she says. “You just pick up the 

phon.


Você sabe o que é a deep web? O lado sombrio da internet

Conheça o lado sombrio da internet. 

Tudo lá é criptografado e preserva a identidade de quem navega e de quem publica.


Assista o Vídeo do Olhar Digital. 

Um lugar conhecido por poucos. Um espaço onde transitam grupos como Anonymous e onde informações como as do Wikileaks são coletadas. A internet como todos conhecem é apenas parte do espaço virtual. Para além dela existe uma outra, conhecida como deep web – ou web profunda. Numa reportagem especial, nossa equipe mergulhou nesse universo paralelo, em que não há regras, e os perigos são muitos.

O primeiro choque com a deep web é em relação ao tamanho deste lado escuro da internet. Um iceberg, um destes blocos gigantes de gelo que vagam pelo oceano. A parte visível, que fica acima da superfície da água seria o correspondente à nossa internet cotidiana, como conhecemos hoje. Os outros 90% submersos escondidos ali representariam a proporção desta parte da rede.

Para quem nunca ouviu falar no assunto, a principal diferença entre a nossa internet e a deep web é que neste lado escondido da rede, nada é indexado. Nada é rastreado. Todo o tráfego do dados é criptografado, o que significa privacidade e anonimato, o que pode ser bom e ruim ao mesmo tempo.

"A deep web se diferencia muito da rede normal, porque é tudo criptografado", conta Jaime Orts Y Lugo, especialista em segurança. Ele explica que diferentemente da web tradicional, neste pedaço da web, a informação passa por vários pontos, recebendo uma criptografia em cada um.

Na web normal, tudo que fazemos para chegar a qualquer destino pode ser facilmente rastreado.Ou seja, privacidade é ilusão. Mais que isso: mecanismos inteligentes identificam o que fazemos o tempo todo na rede para, logo em seguida, oferecer publicidade dirigida e relacionada ao nosso gosto pessoal. E muita gente acaba usando a deep web simplesmente por não estar de acordo com esta regra imposta por gigantes como o Google.

"Eu diria que há o respeito à privacidade na parte de baixo [da internet]. Eu não quero ter uma máquina cheia de cookies. Eu não quero que as pessoas saibam o que eu estou comprando, o que eu gostaria de comprar, nem quero ser bombardeado com oportunidades de compra só por estar fazendo uma busca", diz Lugo. 

O especialista em segurança diz que a "parte de baixo do iceberg" existe por deficiências da parte superior e seu uso comercial excessivo. 

Por outro lado, uma infinidade de criminosos viu na deep web um prato cheio para praticar atos ilícitos e garantir o anonimato. Nossos repórteres mergulharam de cabeça no assunto e descobriram coisas bizarras e assustadoras.

"Tem coisas estranhíssimas que você nem imagina que haja quem possa gostar daquilo, principalmente relacionado a sexo", conta o repórter Leonardo Pereira. "Tudo que você imaginar de parafilia tem lá dentro", ele afirma, contando ainda que é comum se deparar com imagens que "você não gostaria de ver" ao navegar.

E realmente tem de tudo neste lado obscuro da internet: sites de pedofilia, turismo sexual e até assassinos de aluguel estampam a principal página de buscas da deep web.

Lugo, no entanto, vê uma paranoia muito grande sobre a deep web. "Eles preferem sempre falar da coisa ruim, que só tem droga, contrabando, armas... mas tem para quem? Para quem está procurando!", afirma. Ele admite que existe a possibilidade de acabar acessando sem querer uma destas páginas por inexperiência, mas lembra que "quem entra lá para procurar drogas, também pode ir à esquina para comprá-las."

O assunto é delicado e divide opiniões. As autoridades, claro, sabem que a deep web existe, mas como já foi dito não há nada que se possa fazer. É praticamente impossível identificar um acesso neste lado misterioso da rede. 

Entretanto, quem a usa para o bem não é conivente com toda esta ilegalidade. O grupo de hackers Anonymous, por exemplo, conseguiu detectar uma rede de pedofilia com 1,6 mil usuários na deep web e, depois de atacar o site virtualmente, entregou todos os envolvidos para a polícia.


"É uma forma de você combater o ponto e não acabar com tudo", afirma Jaime Orts Y Lugo. "Imagina se, em uma sala, uma pessoa está se comportando mal. Por causa dele, o resto vai sofrer as consequências?", exemplifica o especialista em segurança. Ele defende que sejam punidos apenas as pessoas causadoras de problemas.


Para acessar a deep web, é preciso ter um navegador específico chamado Tor (The Onion Router). Seu símbolo, uma cebola, remete às várias camadas que são necessárias atravessar para se chegar a um conteúdo específico.

"A primeira impressão é que se trata de um lugar bem difícil de se mexer e que você precisa de muita paciência, seja lá qual for o motivo pelo qual você está usando a deep web", conta o repórter Leonardo Pereira. "Nós conversamos com algumas pessoas e elas disseram que os vírus surgem lá. Eles são testados lá dentro. Então é preciso tomar cuidado, com um computador bem preparado e não pode sair clicando em tudo", ele explica.

Ou seja: para experimentar, tome esta série de medidas de proteção:

Tenha um bom antivírus instalado;
  • Use um firewall;
  • Patches de segurança de seu sistema operacional devem estar atualizados;
  • Prefira um modem 3G à rede de internet local para evitar uma invasão;
  • Procure algo interessante.

"Trazer alguma coisa do mundo de lá para o mundo de 'cá' é perigoso, sem dúvidas. Pode acontecer o mesmo que comigo: eu baixei um monte de coisas relacionadas à minha pesquisa e não era nada daquilo", diz Lugo, recomendando cautela.

A mesma postura é recomendada por Leonardo Pereira. "Na dúvida, não clique. É a principal dica", recomenda o repórter.

Nosso time do Olhar Digital está preparando uma série de reportagens sobre a deep web. Caso você tenha ficado curioso, confira os links logo abaixo do vídeo para ficar por dentro de tudo que cobrimos sobre este lado sombrio e misterioso da internet. 

Deixamos disponível também o link para baixar o Tor. Usando este navegador, mesmo na internet normal, você tem a garantia de que nenhum site nunca mais irá coletar suas informações enquanto navega. 

Se você quiser navegar pelas águas não mapeadas da deep web, siga nossos conselhos de segurança e, nunca é demais lembrar: tome cuidado e boa sorte. E se você já se aventurou neste mundo, compartilhe suas experiências nos comentários com outros leitores.

 Comunidade Olhar Digital!

Leia também: Privacidade, isso ainda existe?
Por: Demi Getschko* Houve um tempo em que a internet era considerada o livre mundo da anonimia, da invisibilidade na ação, do n.

quarta-feira, 30 de julho de 2014

Movimentações de empregados – CAGED


Portaria MTE 1.129/2014 






Aprova instruções para a prestação de informações pelo empregador, relativas a movimentações de empregados.

O Ministro de Estado do Trabalho e Emprego, no uso da atribuição que lhe confere o inciso II do parágrafo único do art. 87 da Constituição e tendo em vista o disposto no artigo 1º da lei nº 4.923, de 23 de dezembro de 1965 e no art. 24 da Lei nº 7.998, de 11 de janeiro 1990,

Resolve:

Art. 1º Aprovar instruções para a prestação de informações pelo empregador, relativas a movimentações de empregados, para fins do:

I - Cadastro Geral de Empregados e Desempregados - CAGED, instituído pela Lei nº 4.923, de 23 de dezembro de 1965;

II - Seguro-Desemprego, nos termos do art. 7º, inciso I, e art. 24 da lei nº 7.998, de 11 de janeiro de 1990.

Art. 2º O Aplicativo do CAGED Informatizado - ACI deve ser utilizado para gerar e ou analisar o arquivo do CAGED, pelas empresas nas quais tenha ocorrido movimentação de empregados regidos pela Consolidação das Leis do Trabalho - CLT.

Clique aqui para continuar lendo.Fonte:
09:45
contabilidadenate
30/07 - Blog Guia Trabalhista

Instagram para Android pode ser suscetível a invasões por problemas de criptografia




Esse é um alerta para todos os usuários do Instagram no Android! Isso mesmo, se você utiliza o Instagram no seu dispositivo Android, saiba que o mesmo pode ser suscetível a invasões e que estranhos podem acompanhar todas as suas informações internas (comosenhas) sem nem que você perceba. Quem fez essa descoberta foi o pesquisador de segurança Mazin Ahmed, e ele explica como o aplicativo pode ser facilmente 

Ahmed afirma que o aplicativo utiliza HTTP padrão para transmitir as fotos, cookies e autenticação (incluindo os nomes de usuário e senha), e como ele mesmo costuma dizer:isso é ruim!

Com apenas algumas ferramentas gratuitas, o pesquisador foi capaz de invadir a conexãodo aplicativo utilizando um computador da mesma rede e conseguiu uma autenticação do usuário em questão. Essa é uma técnica bastante comum entre os hackers, e é por isso que a maioria dos sites que necessitam de login utilizam HTTPS por padrão, para evitar esse tipo de problema.

"Fiquei chocado ao ver que os resultados. É inacreditável que o Facebook, empresa responsável pelo Instagram, não garanta que os dados sejam protegidos por HTTPS", afirma Ahmed. O interessante nesta questão é que o próprio Facebook utiliza uma autenticação mais segura.

http://www.tudocelular.com

terça-feira, 29 de julho de 2014

Privacidade, isso ainda existe?




Por: Demi Getschko*

Houve um tempo em que a internet era considerada o livre mundo da anonimia, da invisibilidade na ação, do não monitoramento. Lá se podia interagir sob o manto de um pseudônimo e nunca seríamos rastreados. Mas essa concepção da rede é errada. 

O primeiro aspecto a considerar é que tudo na internet depende de protocolos. Se visitamos um sítio, nossa intenção de lá entrar é conhecida pelo servidor, que nos dará (ou não) permissão de acesso. E, claro, todos somos identificados pelo nosso número IP, tanto visitantes como visitados. Assim, ao contrário de serviços no mundo tradicional, onde podemos ouvir rádio ou assistir à TV sem que as emissoras apercebam-se disso, um acesso a um emissor de rádio na internet depende de autorização para que nosso IP possa receber o fluxo de dados correspondente e, certamente, esse fato pode ser arquivado para o futuro. Ou seja, uma emissora na internet sabe exatamente que IPs recebem seus dados a cada instante.

Mais que isso, e até para algum conforto adicional, muitas vezes somos "carimbados" pelos sítios que visitamos para sermos reconhecidos em uma eventual volta. Esses "carimbos", os "cookies", nos facilitam a vida porque não precisamos voltar a nos identificar a cada passo mas, por outro lado, deixam em nosso sistema marcas que podem durar bastante tempo. Podemos instruir o navegador para que não aceite "cookies", mas isso pode ser um estorvo grande para a nossa interação.

Somos ‘carimbados’ por site para sermos reconhecidos em uma eventual volta.

Outras ameaças existem: o uso da rede para armazenamento de dados pessoais pode expô-los aos que gerem os serviços. Pode acontecer com o nosso correio eletrônico, com listas de endereços, com redes sociais. A assombrosa capacidade de processamento atual permite ir além: pedaços de informação como palavras que buscamos, números IP usados, horários e sítios que visitamos podem ser agrupados e acumulados, identificando-nos virtualmente. Mesmo que nossa identidade não esteja claramente lá, a individualização da informação levará a que sejamos localizáveis pela tecnologia do "big data". E com a adição, em breve, de nossos equipamentos caseiros à "internet das coisas", ainda mais dados, preferências e características pessoais serão coletáveis.

O Marco Civil trata da preservação da privacidade possível, ao restringir a coleta de informações àquelas que são diretamente ligadas à transação em curso. É claro que quando usamos um banco pela rede, tanto o banco como nós mesmos devemos ter certeza de quem é o interlocutor. Idem se compramos algo pela rede, a ser entregue em um endereço físico. Nossa privacidade depende do contexto: ela é diferente numa roda de amigos, numa livraria ou num banco. Mas, certamente, não é assunto da livraria ou do banco saber quais são nossos amigos, da mesma forma que não compete a quem nos transporta ao banco ou à livraria saber o que fomos fazer por lá. O Marco Civil estabelece que as informações coletadas devem ser as que dizem respeito ao dado contexto, que devemos ter sempre o direito de saber quais informações serão coletadas e que podemos, em caso de não concordar em usar o serviço, pedir que nossos dados sejam descartados.


*Demi Getschko é conselheiro do Comitê Gestor da Internet; escreve quinzenalmente.

Fonte: Estadão
Sugestão de publicação: Ricardo Theil

domingo, 27 de julho de 2014

CSO: pronto para assumir a culpa nas violações da segurança

Nunca as empresas detectaram tanto a necessidade de ter um profissional especializado em segurança da Informação. 

Com a crescente ameaça de violações on-line, empresas e governos estão em busca desses especialistas, que têm como responsabilidade principal trabalhar para garantir a segurança dos sistemas de dados. 

Quando os problemas aparecem, o que não é raro, esses executivos já estão preparados para assumir a culpa.

"Nós somos como ovelhas esperando para serem abatidos", disse David Jordan, diretor de segurança da informação da Arlington County, na Virgínia (EUA). "Todos nós sabemos qual é o nosso destino quando há uma quebra significativa. Este trabalho não é para os fracos.” Os diretores de segurança da informação têm um dos trabalhos mais difíceis no mundo dos negócios: Eles devem ficar um passo à frente dos gênios do crime e hackers militares.

Não podem descuidar ao verificar constantemente uma crescente lista de conformidade, devem ser criteriosos no controle de fornecedores com relação a vazamentos e ainda precisam estar atentos ao comportamento de funcionários irresponsáveis, que frequentemente fazem upload de dados sensíveis para contas pessoais de acesso a repositórios de informações e smartphones desbloqueados. Mas os requisitos não param por aqui.

Eles também precisam ser hábeis na gestão de crises de comunicação. E, ainda que sejam especialistas em sofisticadas tecnologias, aprendem diariamente, da maneira mais difícil, que até mesmo os mais brilhantes e novíssimos sistemas de segurança não são infalíveis. Uma década atrás, poucas organizações tinham em seus quadros o cargo de Chief Information Security Officer ( CISO) , o executivo responsável pela segurança da informação. Agora, mais de 50% das empresas com 1.000 ou mais empregados têm um executivo dedicado a esta função, de acordo com um estudo realizado no ano passado pelo Instituto Ponemon, especializado em pesquisa.

Empresas como a VeriFone, fornecedora de sistemas de pagamentos eletrônicos; Brown-Forman, que atua no setor de bebidas; e as Universidades de Carolina do Norte e Chicago estão são alguns exemplos de organizações em busca de executivos especializados em segurança da informação. O trabalho tornou-se tão crítico que a recomendação dos recrutadores às empresas a procura desses profissionais é “adoçar” o negócio.

Segundo o estudo da Ponemon, as ofertas do mercado incluem bônus e salários que variam de US$ 188 mil a US $ 1,2 milhão. Além de vantagens como a possibilidade de trabalhar remotamente e orçamentos mais generosos para a compra de sistemas de proteção. Ainda assim, o cargo é visto como uma tarefa ingrata. Muitos dos diretores de informação de segurança que participaram no estudo da Ponemon classificaram sua posição como a mais difícil de uma organização. A maioria dos entrevistados afirmou que seu trabalho era ruim ou o pior de toda sua carreira.

O cargo é alvo de tanta pressão que muitos acabam deixando o posto – voluntariamente, ou não - depois de dois anos, de acordo com o levantamento da Ponemon. Enquanto pesquisas mostram que executivos-chefes responsáveis por outras áreas costumam permanecer, em média, 10 anos na mesma posição. Entre as maiores dores de cabeça apontadas pelos profissionais de segurança de dados está a identificação de produtos confiáveis.

Além disso, enquanto muitos executivos de segurança da informação concordam que antivírus, uma forma tradicional de proteção, pode não ser mais tão eficaz na defesa contra ameaças modernas, alguns dizem que os produtos mais recentes também não apresentam resultados muito superiores.

Segundo os recrutadores, os candidatos a um emprego na área de segurança da informação têm se preparam para manter conversas difíceis no momento anterior à contratação. Antes de aceitarem uma oferta, alguns candidatos querem ter a certeza de que o conselho da empresa está ciente que as violações são inevitáveis​​ e que é necessário alocar uma percentagem do orçamento para a tecnologia da informação, a fim de manter um nível de segurança suficientemente elevado.

Para lidar com tal angústia, muitos executivos de segurança da informação dizem que o humor é o maior aliado. No mercado americano, há uma brincadeira conhecida entre eles. O conto do novo chefe de segurança que chega para assumir o posto de seu antecessor.

O antecessor lhe entrega três envelopes numerados e diz a ele para abri-los em caso de emergência. Depois de uma quebra de segurança, o novo executivo de segurança abre o primeiro envelope. A mensagem diz: "A culpa seu antecessor." Depois de uma segunda violação, ele abre o segundo, a mensagem sugere, "a culpa sua equipe." Depois de uma terceira violação, ao abrir o terceiro envelope, a mensagem diz: "Prepare três envelopes."

Do The New York Times.

:: Convergência Digital - 23/07/2014

Equador proibe Bitcoin e cria sua própria Moeda Digital




No dia 23 de julho, o governo do Equador proibiu bitcoin, junto com todos os outros cryptocurrencies.

A legislação faz parte de uma reforma das leis monetárias e financeiras do país. 

O projeto de lei foi aprovado por 91 membros do parlamento, com 22 votos contra e 3 abstenções.O presidente Rafael Correa, que apresentou o projeto de reforma que em breve será homologado como lei.

O projeto de reforma anuncia a criação de uma moeda digital Estado equatoriano, para ser apoiado pelos ativos do banco central , permitirá que o governo faça pagamentos em moeda digital. 

O novo cryptocurrency está definido para funcionar ao lado da moeda oficial do país, embora os planos de implementação exatas ainda não foram descritas.