regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

sexta-feira, 8 de agosto de 2014

#Hackers revelam as 8 falhas de segurança mais graves do ano

A conferência Def Con, focada em segurança computacional, começou ontem nos Estados Unidos e reúne hackers e fabricantes de antivírus.

Nesta sexta-feira, os participantes do evento divulgaram uma lista com as 8 falhas de segurança consideradas por eles as mais graves de 2014.

1) Bad USB

Uma vulnerabilidade na forma como os drives USB são lidos pelo computador faz com que os dispositivos estejam propensos a um tipo de infecção praticamente indetectável. Como o antivírus só escaneia os arquivos de um pendrive, em busca de vírus, e não chega a analisar o firmware, isso torna a mídia suscetível a uma modificação no firmware que poderia causar infecções no computador, sem ser descoberto. Por enquanto, não foram registrados ataques do tipo.

2) Ataque aéreo

Um pesquisador de segurança chamado Ruben Santamarta descobriu uma forma de hackear os sistemas de comunicação Wi-Fi de aviões, o que poderia entregar a um usuário comum o controle de funções da navegação e segurança das aeronaves. Os fabricantes do equipamento de segurança das areonaves disseram que os possíveis danos de um ataque como esse são mínimos, mas buscam soluções para a resolução dos problemas.

3) Tor não é infalível

Alexander Volynkin, pesquisador da Carnegie Mellon, prometeu mostrar na conferência Black Hat como quebrar o sistema de anonimidade fornecido pelo navegador TOR. No entanto, a pedido da própria Universidade, Volynkin não fez a apresentação, pois o conselho legal da instituição entendeu que parte da palestra deveria ser censurada. Ainda não se sabe, portanto, qual o método para derrubar o TOR, mas acredita-se que a plataforma não seja infalível.


4) Falhas de segurança em produtos Symantec

O desenvolvedor Mati Aharoni descobriu uma vulnerabilidade no produto "Symantec Endpoint Protection", que poderia, caso explorada, acessar o computador de um usuário através do mesmo programa que tentaria protegê-lo. A falha, porém, já foi consertada.

5) Roteadores com configurações padrão

Segundo o chefe de segurança da In-Q-Tel, Dan Geer, uma mistura de roteadores antigos com vulnerabilidades e unidades que ainda operam com a senha padrão de fábrica transforma os aparelhos em uma das maiores vulnerabilidades da atualidade. A dica é: mantenha-os com senhas fortes e os firmwares sempre atualizados.


6) NAS não são seguros

Um tipo de drive externo específico para ser utilizado em redes locais, os NAS (Network Attached Storage) são úteis para armazenamento compartilhado, mas,de acordo com o analista de segurança Jacob Holcomb, após um teste com 50 modelos diferentes, nenhum deles possuía segurança suficiente que não fosse burlada. O teste foi feito em 2013 e os resultados, demonstrados em uma palestra neste ano.

7) Softwares de operadoras de telefonia

Entre 70% e 90% dos smartphones do mundo vêm com algum tipo de software instalado para gerenciar a capacidade do sinal da rede. Este tipo de software, que já vem instalado diretamente pelas operadoras, tem falhas que podem permitir a pessoas mal-intencionadas rodar códigos remotamente no smartphone sem a permissão do usuário.

8) Internet das coisas é facilmente hackeável

Jesus Molina, consultor de segurança computacional, demonstrou como hackear um app que controlava luzes e a temperatura do quarto de um hotel cinco estrelas na China. A façanha se deu graças à engenharia reversa, permitindo que ele controlasse todas as luzes do local, cortinas e aparelhos de som em todos os quartos. Como o aplicativo funcionava com conexão à internet, o método poderia ser utilizado de qualquer lugar do mundo.

Via: PC W

Google dá mais relevância aos sites que usam criptografia


A nova tese de rankeamento do Google sobre criptografia beneficiará diretamente os usuários da rede.

Já falei sobre isso várias vezes aqui no Blog: É inacreditável que o pipoqueiro para vender suas pipocas na esquina precise de uma licença e ainda por cima, precisa exibi-la  aos seus clientes e na internet vende-se de tudo e os sites não precisam exibir nenhuma credencial. Também não precisam ter criptografia. Ninguém regula isso!

As empresas gastam fortunas em campanhas de Ad words e economizam com a criptografia que protegeriam os dados de seus clientes, leitores ou usuários de serviços.

Discordo da matéria abaixo quanto cita que para empresas pequenas é mais fácil a aquisição do certificado digital SSL para proteger seus dados. Segundo a matéria, é por que as empresas de grande porte tem muitos servidores para proteger.

Primeiro que o custo unitário do certificado digital cai, e muito, na compra em volume.  Segundo que tudo é proporcional ao porte da empresa.

Vamos fazer uma comparação? Um pequeno estabelecimento gasta com fechaduras muito menos que uma empresa que possui um prédio inteiro. Isso é óbvio e nesse caso nem se precissa completar o raciocínio.

Todo investimento deve ser proporcional ao volume da operação financeira de cada empresa na internet.  E as empresas economizam em investimentos que não são percebidos por seus consumidores.

Pois bem, vamos ver agora se continuarão economizando com a criptografia e gastarão mais em suas campanhas online!

O próximo passo seria criar um mecanismo para a criptografia nos servidores internos. Aqueles que não serão rastreados pelo Google.

Leia a matéria publicada na Computerwords.

Google reduz rankeamento de sites 
que não usam criptografia

Objetivo da medida é promover melhores práticas de segurança em toda a Web

Sites que não criptografam as conexões com os seus visitantes podem obter uma classificação mais baixa no motor de busca do Google. A medida visa promover melhores práticas de segurança online.

O movimento do Google foi concebido para estimular os programadores a implantarem o protocolo TLS (Transport Layer Security), que usa um certificado digital para criptografar o tráfego ‒ representado pela figura de um cadeado na maioria dos browsers e as letras "https” no início das URLs (endereços).

São muitos os atributos usados pelo Google para fazer com que um site seja melhor posicionado que outro nos resultados de busca. Ter conteúdo exclusivo, ter destaque nas redes sociais, backlinks, etc...

A empresa acrescentou o uso de https nesses atributos, embora se aplique a cerca de 1% das consultas hoje, ressaltam Zineb Ait Bahajji e Gary Illyes, analistas de tráfego da Google.

A segurança de um website terá menos peso na classificação em comparação a outros fatores como conteúdo de alta qualidade, mas sua importância pode aumentar com o tempo, segundo o Google. "Esperamos ver mais websites usando HTTPS no futuro", disseram os analistas do Google.

Todos os sites mais respeitáveis ​​usam a criptografia quando uma pessoa envia os seus elementos de autenticação, mas alguns não o fazem. Isso significa que o conteúdo é suscetível a um ataque de intercepção (“man-in-the-middle”). O conteúdo que não é criptografado pode ser lido facilmente.

Mas embora a implantação do "https" seja bastante simples para pequenos sites, pode ser complexo para as grandes organizações, com muitos servidores que precisam lidar com desafios como o aumento da latência, problemas de suporte com as redes de distribuição de conteúdo e questões de escala.

A LinkedIn, por exemplo, disse em junho que ainda estava atualizando toda a sua rede para uso de https após a empresa de segurança Zimperium descobrir ser possível sequestrar as conta de usuários do serviço, em alguns casos. O mesmo problema foi detectado no Instagram. O serviços faz pedidos não criptografados para algumas partes de sua rede, o que poderia permitir a um hacker na mesma rede WiFi roubar um "cookie de sessão".

BYOD e apps: qual é a chave da segurança?



As áreas de Tecnologia da Informação registram, hoje, um gasto médio de US$ 157 por dispositivo por funcionário. A expectativa é que esse custo atinja US$ 242 nos próximos dois anos — um aumento de 54%, revela um estudo global da CIO Strategic Marketing Services, feito com 414 executivos de TI.

O levantamento aponta que a segurança segue sendo a principal preocupação na hora de adotar o modelo BYOD (bring your own device, ou traga seu próprio dispositivo). Entre os entrevistados, 93% citaram a perda de dados e outras brechas de segurança relacionadas a dispositivos móveis, sendo o BYOD um elemento-chave dessa preocupação.

De acordo ainda com a pesquisa, nos próximos dois anos, as empresas vão priorizar a criptografia de dados de dispositivos (10% a mais do que atualmente), na centralização das atualizações e solução de falhas (11% mais), na limpeza remota dos dados (11% mais) e no bloqueio de recursos (18% mais).
Os gestores de TI revelam ainda que 70% do tempo é gasto na integração, segurança, testes de garantia de qualidade e trabalho de design. Aponta ainda que 44% assumem que o portfólio de aplicativos é desenvolvido internamente.

quinta-feira, 7 de agosto de 2014

Certificação digital na rotina do empresário

As micro e pequenas empresas já começam a se atentar aos benefícios da certificação digital que, inserida em suas rotinas, pode identificar o autor de uma atividade e garantir a integridade da informação, adicionando validade jurídica e eliminando a necessidade de várias etapas em um processo único.
No rastro desta grande vantagem, a certificação digital permite a desmaterialização de processos com segurança e sustentabilidade, através da substituição de procedimentos manuais e emissão de documentos físicos por arquivos eletrônicos assinados digitalmente. Por não gerar documentos em papel, eliminado a necessidade de seu manuseio e a alocação de espaço físico para armazenagem, a desmaterialização gera uma sensível economia para as empresas. “Com a certificação digital, estes gastos e perda de tempo não existem, porque você cria, assina e armazena no meio digital”, afirma o diretor de tecnologia da Certisign, Maurício Balassiano.
Se as vantagens da desmaterialização de processos são nítidas, inclusive por não causar danos ao meio ambiente, o que fazer com o antigo arquivo de documentos físicos? Desde que ainda se preserve os originais e seguindo os processos homologados pelo órgão regulador, esses documentos podem ser digitalizados e armazenados eletronicamente, também com validade jurídica. “Estamos falando de maior produtividade, de eficiência na gestão de documentos, porque podem ser realizadas por meio de sistemas baseados em web e que não exigem a presença física do signatário. Isso significa mais segurança”, complementa o especialista.
Menos crédito e mais inadimplência - Segundo dados do Banco Central do Brasil, entre março e maio deste ano, os bancos deixaram de transformar em crédito pouco mais de R$ 13 bilhões, preferindo a remuneração do depósito compulsório, que paga a Selic, do que correr risco de inadimplência dos consumidores. Na prática, desde o ano passado, as instituições bancárias já estão mais restritivas na concessão de crédito, e esse aumento no volume de depósitos compulsórios, que é uma ferramenta monetária para controle da quantidade de dinheiro em circulação no País, acaba levando a uma menor disponibilidade de recursos para empréstimos e financiamentos.
De fato, este fenômeno vem sendo constatado nas últimas rodadas do Indicador de Atividade da Micro e Pequena Indústria de São Paulo, encomendada pelo Simpi ao Instituto DataFolha, indicando que muitos empresários do setor estão sofrendo com a falta de recursos para capital de giro e investimento. Além disso, a pesquisa também mostrou um cenário de alta na inadimplência, o maior desde quando o estudo foi lançado.
Embora haja sinais de otimismo entre os micro e pequenos empreendedores industriais paulistas para o segundo semestre deste ano, segundo a mesma pesquisa Simpi, dificilmente, no curto prazo, teremos ajustes significativos na política econômica que possam dar alguma perspectiva de crescimento ao setor privado, cenário este que ratifica o pessimismo atualmente dominante entre os economistas. 
Fonte: http://www.dgabc.com.br

terça-feira, 5 de agosto de 2014

Hackers russos roubam mais de um bilhão de senhas


Internet

Hackers russos roubam mais de um bilhão de senhas

Grupo acumulou 1,2 bilhão de combinações de nomes de usuário e senhas de internet e 500 milhões de endereços de e-mails. Empresa de segurança que descobriu o roubo não vê ligação do caso com o governo da Rússia

Ação partiu de cidade na região central da Rússia
Ação partiu de cidade na região central da Rússia (Thinkstock/VEJA)
Hackers russos acumularam o maior número de dados confidenciais de internet de que se tem notícia, ao roubar 1,2 bilhão de combinações de nomes de usuário e senhas e mais de 500 milhões de endereços de e-mails. Segundo o jornal The New York Times, trata-se do maior ação desse tipo já registrada. O grupo atua desde 2011, mas acelerou a coleta a partir de abril deste ano. 
Os registros incluem ainda dados confidenciais de 420.000 sites. O roubo foi descoberto por uma empresa de segurança da cidade de Milwaukee, nos Estados Unidos, que não divulgou o nome das vítimas. “Os hackers não tiveram como alvo apenas companhias americanas. Eles atacaram qualquer site ao qual podiam ter acesso, desde empresas que fazem parte da lista da Fortune até outros muito pequenos”, afirmou o chefe de informação da Hold Security, Alex Holden. “Muitas destas páginas ainda estão vulneráveis”, acrescentou.
Um especialista em crime cibernético consultado pelo NYT afirmou que algumas grandes empresas sabiam que seus dados haviam sido roubados. O caso aumenta a sensação de que manter informações confidenciais longe do alcance de hackers é cada vez mais uma tarefa difícil. Em dezembro, 40 milhões de números de cartões de crédito e 70 milhões de endereços, números de telefone e outras informações pessoais foram roubados do sistema de computadores de uma empresa americana por gangues do leste europeu.
Sites russos também foram hackeados pelo grupo, e, por isso, Holden disse não enxergar ligação com o governo russo, que enfrenta atritos com o Ocidente devido principalmente à crise na Ucrânia
O grupo está baseado em uma pequena cidade perto da fronteira com Cazaquistão e a Mongólia, e inclui menos de uma dúzia de jovens na faixa dos 20 anos de idade. "Há uma divisão de trabalho na gangue", disse Holden. "Alguns estão desenvolvendo o programa, outros estão roubando os dados. É uma pequena empresa: todo mundo está tentando ganhar a vida."
Segundo o jornal, os hackers ainda não comercializaram muitos desses registros. Até o momento, eles parecem estar preferindo usar as informações para enviar spans por meio de redes sociais como Twitter, a pedido de outros grupos, e cobrando valores pela tarefa.

Como outras consultorias de segurança cibernética, a Hold Security tem contatos entre hackers e estava monitorando e entrando em contato com o grupo da Rússia há algum tempo.
Fonte: http://veja.abril.com.br

segunda-feira, 4 de agosto de 2014

Certificação digital para acesso ao Sistema DOF é obrigatória


Instrução normativa
Norma em vigor a partir desta segunda (4) busca maior segurança eletrônica na emissão de Documentos de Origem Florestal

Começa a vigorar nesta segunda-feira (4) a obrigatoriedade de uso da certificação digital para acesso ao Sistema Documento de Origem Florestal (DOF) a todos os usuários, tanto pessoa física como pessoa jurídica (Instrução Normativa Ibama nº 10, de 25.06.2014).

A nova norma estabelece a obrigatoriedade da certificação digital para os empresários individuais ou da sociedade em comum que não possuam inscrição no CNPJ, nos termos da legislação civil e tributária.

Para os usuários do sistema DOF, o Certificado Digital é uma credencial que atesta a identidade de uma pessoa física ou jurídica com objetivo principal de garantir que as transações eletrônicas dos produtos e subprodutos florestais sejam efetuadas com segurança, mantendo-se a integridade e a confidencialidade dos documentos e dados da transação e reduzindo-se os riscos de furtos de senha e movimentações fraudulentas de créditos florestais.

Até que se inicie a obrigatoriedade, os usuários que quiserem usufruir da segurança conferida pela certificação digital já podem aderir a essa modalidade de acesso ao DOF de forma facultativa. Para obter o certificado digital, o usuário deverá escolher uma Autoridade Certificadora (AC), da qual poderá adquirir o dispositivo criptográfico (token), e proceder à habilitação de seu certificado.

Informações adicionais de como obter o certificado digital podem ser obtidas no site do Instituto Nacional de Tecnologia da Informação (ITI). Para mais informações de como acessar o Sistema DOF com a certificação digital, acesse o manual de certificação digital neste link.

Sobre o DOF

O Documento de Origem Florestal, instituído pela Portaria n° 253 de 18 de agosto de 2006 do Ministério do Meio Ambiente (MMA) representa a licença obrigatória para o controle do transporte de produto e subproduto florestal de origem nativa, inclusive o carvão vegetal nativo, em substituição à Autorização de Transporte de Produtos Florestais (ATPF).

O DOF acompanhará, obrigatoriamente, o produto ou subproduto florestal nativo, da origem ao destino nele consignado, por meio de transporte individual: rodoviário, aéreo, ferroviário, fluvial ou marítimo.

Para utilização desse documento, foi disponibilizado pelo Ibama o sistema DOF. O acesso a esse serviço será feito pela pessoa física ou jurídica cadastrada e em regularidade no Cadastro Técnico Federal.

As empresas de construção civil que utilizam madeira de origem nativa em suas obras são obrigadas a ter registro no cadastro técnico federal. 

Tais empresas deverão fazer uso do sistema DOF para receber ofertas de madeira (mediante aceite da oferta do fornecedor), bem como manter o saldo de produtos/subprodutos florestais em pátio (canteiro de obras) atualizado. 

Fonte:
Ibama
por Portal BrasilPublicado: 04/08/2014 18:23