Consumo e Segurança Online

Por André Machado - 9.4.2012 | 16h20m Artigo II:

Os consumidores brasileiros, cada vez mais comprando pela internet, estão preocupados com a segurança eletrônica. 

 Segundo Manuel Fernandes, executivo líder da área de Tecnologia, Mídia e Telecom da consultoria KPMG,  analisa a situação nesse texto, em que aponta que as empresas de varejo on-line ainda suscitam desconfianças aos consumidores na hora da compra: Em 2011, de acordo com a Câmara Brasileira do Comércio Eletrônico (camara-e.net), o setor de comércio eletrônico no Brasil obteve um faturamento estimado em R$ 20 bilhões e contou com mais de 1,1 bilhão de utilizações pelos consumidores. 

Ainda, segundo a camara-e.net, o país é o sétimo com maior potencial de vendas pela rede e deve alcançar em breve a quarta posição. Mesmo diante desse crescimento desenfreado da Internet e do uso das redes sociais, os brasileiros ainda enfrentam vários entraves para utilização dos serviços baseados na rede se mostrando atentos à forma como os seus dados pessoais estão caindo na web. 

As maiores preocupações e as principais razões dos consumidores não usarem o comércio eletrônico e preferirem o varejo tradicional ainda são a segurança e privacidade. A situação se torna mais complexa ainda quando as operações de comércio e transações de mobile banking são feitas em um dispositivo móvel (celulares, smartphones ou tablets). 

Neste caso, acostumados a utilizar o cartão de crédito nas compras, os consumidores demonstram que ainda têm receio de que as informações do cartão de crédito sejam interceptadas por alguém não-autorizado, além da probabilidade de terceiros acessarem seus dados de identificação pessoais. 

A preocupação dos consumidores com a segurança é tamanha que a pesquisa “Consumers and Convergence” realizada pela KPMG para medir as tendências de consumo on-line mostrou que eles acham as instituições financeiras e bancos, e não os sites de compra, os mais confiáveis para manter seguros suas informações pessoais e financeiras ao realizar uma operação. 

Logo depois, aparecem os sistemas de pagamento seguro via internet e, por último, estão as empresas de varejo on-line. Esse comportamento demonstra que apesar da grande participação na Internet, ainda se mostram receosos e alguns preferem fazer as compras nas lojas físicas. Se quiserem sobreviver e se destacar nessa selva digital, os sites também vão ter que mostrar que estão dispostos a manter uma boa reputação para ganhar a confiança dos consumidores. 

A tendência é que eles se sintam mais à vontade para navegar em ambientes em que as políticas de segurança estejam bem definidas e explícitas para todos. Nesse mundo eletrônico cada vez mais competitivo, a reputação dos sites, a certificação de segurança feita por um terceiro independente e a necessidade da implantação de regulação forte por parte do governo também são determinantes para aumentar a segurança dos consumidores on-line. Sinais de que eles estão ficando cada vez mais exigentes.

Fonte: Blog André Machado publicado em Quarta-feira, 21 de março de 2012

A Importância da Proteção das Informações Pessoais

Por Thiago Galvão

O universo das informações em meios digitais está em frequente e acelerada expansão.

Mas, que informações são estas, onde elas estão armazenadas, quem é o responsável pelo acesso das mesmas e, será que existem leis sobre este assunto?

Muitas vezes somos nós os responsáveis por colocar as informações nos meios digitais, mas em outras situações, o responsável pode ser uma empresa, uma ONG ou um órgão público. Abaixo, falaremos um pouco sobre este assunto, dividindo em tópicos os ambientes mais comuns e as características de cada um deles. 

Redes Sociais

Recentemente, o Facebook ultrapassou 500 milhões de usuários e o Twitter ultrapassou os 145 milhões, uma marca impressionante. Mas estes ambientes de “encontro social” já apresentaram diversos problemas de segurança relacionados  à privacidade das informações. De quem é a culpa?

Em muitos casos, observamos que muitos usuários divulgam informações pessoais em excesso como endereço, telefone, e-mail, nome de familiares e participam de comunidades que os associam a escolas, faculdades, clubes, academias, etc. Além disso, muitas pessoas publicam fotos pessoais, fotos da família e até mesmo de amigos, que, muitas vezes, não ficam sabendo que suas fotos estão sendo espalhadas por aí.

Neste caso, a responsabilidade da divulgação da informação é do próprio usuário. É o usuário quem deve controlar o tipo de informação que irá colocar neste mundo público.

De outro lado, as empresas donas das redes sociais, também são responsáveis por manter os ambientes seguros e com recursos de proteção, de modo que estas informações não sejam acessadas por pessoas que não deveriam ter acesso. Porém, conforme fatos recentes, os sites são atacados em suas vulnerabilidades e alguns hackers conseguem extrair várias informações, incluindo as senhas, de vários usuários ao mesmo tempo.

Sabemos que a utilização destes recursos é necessária para a integração com os amigos atuais e antigos, com as empresas em que trabalhamos ou que queremos trabalhar, para sabermos das novidades, enfim, para sentirmos  parte deste novo mundo tecnológico. 

Desta forma, se alguém não deseja correr o risco de ter sua vida particular e de seus familiares exposta para outras pessoas, o melhor é controlar as informações divulgadas e publicar somente o necessário, ou seja, apenas aquilo que você não se preocuparia se, por acaso, aparecesse na página de um jornal na manhã do dia seguinte. 

Empresas de Venda de Produtos pela Internet e pelo Telefone

Atualmente, nas lojas virtuais ou na compra de produtos pelo telefone, utilizamos o cartão de crédito para pagar a conta. Você já procurou saber como estas informações são armazenadas? Você saberia dizer hoje em quais sites ou em quais lugares você já comprou pelo telefone utilizando o seu cartão de crédito?

A facilidade de pagar as compras com o cartão de crédito é indiscutível, porém, para a liberação e autorização de um pagamento virtual, (Internet ou Telefone) é preciso passar informações como: número do cartão, a data de validade e o famoso código de segurança. Vamos imaginar um cenário bem comum. Você está em casa com fome e pede uma pizza por telefone. Você está sem troco ou quer acumular pontos no programa de fidelidade do cartão e acaba preferindo a utilização do mesmo, afinal cheque dá trabalho para preencher. Onde será que a atendente anota os dados do seu cartão? Os lugares podem ser diversos, desde um pedaço de papel a um sistema. Supondo que a pizzaria tem um sistema, imagine se o computador não tem antivírus, não tem controle de acesso às informações e é compartilhado com várias pessoas, inclusive para navegar na internet, fazer download de programas ou para trocar mensagens de bate-papo.

Outro cenário interessante são os milhares de sites de lojas, pequenas ou grandes, confiáveis ou não. Você está interessado em um produto como um computador, uma televisão, uma cesta de pães, um item de coleção, uma passagem área, uma reserva de hotel, ou algo do tipo. A melhor forma de pesquisar os preços entre os concorrentes é a Internet, sem dúvida, e pela comodidade de não sair de casa ou às vezes pelo fato de o produto estar disponível apenas em outra cidade, estado ou até mesmo país, você realiza a compra on-line.

Nesta situação, principalmente pelos valores envolvidos e pela distância das lojas com os clientes, diversas informações são solicitadas como nome, endereço, telefone, e os dados do cartão de crédito. Com isso, nossas informações estão sendo armazenadas por aí, em diversos lugares.

Com certeza eu, você, seu parente próximo ou um amigo já utilizou uma das opções de compra mencionadas anteriormente. Mas como temos utilizado estes serviços? Será que avaliamos se o site é verdadeiro, confiável, idôneo e tem boas referências? Avaliamos se são utilizados recursos de criptografia para o processamento das informações? Verificamos se o site tem uma política de privacidade de tratamento das informações? Estamos utilizando um cartão diferente do cartão vinculado à conta bancária para realizar as compras?

Devemos sempre fazer estas e outras perguntas antes de realizar estas compras, para diminuir os possíveis problemas e sempre lembrar que os dados informados estão sendo armazenados de diversas formas por estas empresas, muitas vezes inadequados e inseguros. 

Laboratórios

No mês passado, fiz um exame de rotina em um laboratório e, no final do exame, me entregaram uma senha para ter acesso a todos os resultados pela Internet. Você já imaginou como estas informações estão protegidas? O site tem proteções contra ataques de hackers? Existe criptografia no armazenamento das informações? Existe alguma senha que consegue ter acesso a todos os resultados pela Internet?

Infelizmente, não sabemos a real situação de segurança destas empresas e o nível de controle que elas possuem para guardar nossas informações. Precisamos nos preocupar com este assunto e, no mínimo, solicitar que as empresas nos informem o que estão fazendo em favor da segurança de nossos dados. Você já imaginou suas informações referentes à sua saúde expostas por aí? 

Empresas Privadas

Hoje, enquanto você está lendo este artigo, milhares de pessoas no Brasil e no Mundo, estão passando por um processo de seleção para uma vaga em alguma empresa. Nesta fase de “namoro” entre as partes, as empresas precisam de diversas informações para avaliar o profissional, tais como: currículo, identidade, carteira de motorista, CPF e, em algumas etapas mais avançadas, de resultados de exames médicos.

Você já parou para pensar como estas informações estão sendo tratadas? O que as empresas fazem com os currículos recebidos diariamente, quem tem acesso a estas informações e se as mesmas são compartilhadas com outras empresas? Muitas organizações possuem processos com controles e atividades para proteger as informações, mas será que todas fazem isso?

Após o processo de admissão, a empresa começa a guardar outras informações sobre seus empregados como histórico profissional, avaliações de desempenho, informações dos familiares para o plano de saúde, dentre outras.

Nestes casos, as empresas realmente necessitam das informações e nós não podemos entrar em paranoia e nos preocuparmos com este cenário, porém, os responsáveis pela área de Recursos Humanos e Segurança da Informação precisam criar e manter controles adequados para a proteção destes dados. 

Órgãos Públicos

ENEM, Receita Federal, Departamentos de Polícia, dentre outros órgãos públicos, possuem nossas informações em seus sistemas. Recentemente, estamos vendo diversas notícias sobre acessos inadequados no Imposto de Renda de pessoas ligadas às campanhas políticas.

No caso da Receita Federal, será que existem controles adequados de segurança sobre estas informações? Existem níveis de alçada para acesso a tipos de informações de acordo com a localização do contribuinte ou de acordo com o valor de imposto pago, associado ao nível adequado de hierarquia dentro da receita? Será que existe algum sistema de biometria para identificar todos os acessos e que impeça que as pessoas compartilhem suas senhas? 

Será que existem trilhas de auditoria que permitam saber com precisão, o dia e hora do acesso, em que terminal foi feito o acesso e se este acesso foi somente de leitura ou de atualização? Mais ainda: caso alguma informação tenha sido alterada, como estava antes e depois da alteração?

São diversos os controles que podem ser implantados dentro das organizações públicas para manter nossos dados com maior proteção e com acesso devidamente aprovado. As últimas notícias, porém, têm mostrado que os controles não estão bem aplicados e os riscos de vazamento de informações estão cada vez maiores. 

Legislações relacionadas à proteção de dados pessoais.

Para todas estas situações, existem diversas leis em outros países, diferentes do Brasil, que protegem o dono da informação e obrigam as empresas mantenedoras dos dados, a execução de controles, implantação de tecnologias e no caso de não cumprimento da mesma, multas expressivas para ressarcir a pessoa que for lesada. Dentre as diversas leis existentes, considero a LOPD um das mais abrangentes sobre o assunto:

LOPD – (Ley Orgánica de Protección de Datos de Carácter Personal) A lei espanhola foi decretada pelo Rei Juan Carlos em 21/12/2007, complementar à lei de 13/12/1999. Trata dos controles necessários à proteção da informação pessoal de qualquer cidadão (Espanhol ou não) que esteja armazenado dentro da Espanha, em meios digitais ou não.

A lei trata de assuntos como a Qualidade dos Dados, incluindo a integridade dos mesmos; o Direito de Acesso à Informação, incluindo controles de quem pode acessar, definição do tempo de acesso por tempo (determinado ou indeterminado); o Consentimento do Dono, incluindo a responsabilidade de comunicar ao mesmo sobre o tratamento a ser dado à sua informação; os Dados de Proteção Especial, onde são tratados os dados sigilosos, principalmente referentes à saúde, religião, ideologia, crença; o Acesso por Terceiros, incluindo autorizações e aprovações necessárias à concessão do acesso; a Exclusão da Informação, onde os dados devem ser excluídos das bases de dados após período determinado; o Monitoramento através de câmeras de vídeo ou qualquer outro em que seja possível a identificação de uma pessoa; a Transferência Internacional de Dados, onde são tratados todas as regras, aprovações e controles necessários para o intercâmbio, envio ou armazenamento de dados em outro país que não tenha legislações especificas sobre o assunto, como o Brasil; dentre outros.

A multa para o não cumprimento da lei pode chegar a 600 mil euros, de acordo com o tipo de informação e o tipo de incidente ocorrido com a mesma. 

Conclusão

Como afirma o dito popular: é melhor prevenir do que remediar. Precisamos começar a prevenir, ou seja, temos que proteger nossas informações.

Os recursos tecnológicos como notebook, desktop, smartphone, pendrive, maquinas fotográficas, ipads, etc. são úteis, necessários e às vezes imprescindíveis, porém, precisamos criar regras, controles e recursos para a proteção das informações que eles armazenam, seja na utilização particular, compartilhada ou na empresa.

O Ministério da Justiça deve iniciar ainda 2010 um debate público para uma nova proposta de marco regulatório para a proteção de dados pessoais no Brasil. Nós brasileiros, precisamos aproveitar esta oportunidade e participar, discutir e principalmente tratar o assunto com a devida importância que o mesmo merece. São as nossas informações que estão espalhadas por aí e precisam ser devidamente protegidas.

 Thiago Galvão


Fonte: TI Especialista 

Postado por Thiago Galvão em 24/11/2010

Segurança da Informação, Tecnologia |

Especialista em Segurança da Informação http://www.thiagogalvao.com.br

Entendendo segurança no Android

O Android consiste em uma estrutura de aplicativo, bibliotecas de aplicativo e um tempo de execução com base em máquina virtual Dalvik, todos eles em execução em um kernel do Linux.

Ao tirar proveito do kernel Linux, o Android obtém uma série de serviços do sistema operacional, incluindo o gerenciamento de processos e de memória, uma pilha de rede, drivers, uma camada de abstração de hardware e, relacionados ao tópico deste artigo, serviços de segurança.

 

Pré-requisitos

Para acompanhar este artigo, é preciso ter as seguintes qualificações e ferramentas:

• Conhecimento básico da tecnologia Java e como usar o Eclipse (ou seu IDE favorito)
• Java Development Kit (é requerida a versão 5 ou 6)
• Eclipse (versão 3.4 ou 3.5)
• Android SDK e plug-in ADT

Para fazer o download e obter informações de configuração, consulte a seção Recursos no final deste artigo. 


Acrônimos usados frequentemente

• ADT: Android Development Tools
• API: Interface de programação de aplicativos
• DE: Ambiente de Desenvolvimento Integrado
• JDK: Java Development Kit
• URL: Identificador Uniforme de Recursos
• XML: Linguagem de Marcação Extensível

 

Ambientes de simulação, processos e permissões

O Android usa o conceito de um ambiente de simulação para executar a
separação e as permissões entre aplicativos a fim de permitir ou negar o
acesso de um aplicativo aos recursos do dispositivo, como arquivos e
diretórios, a rede, os sensores e as APIs em geral.

Para isto, o Android usa facilidades do Linux, como segurança em nível de processo, IDs de
usuário e de grupo associados com o aplicativo e permissões para impor
quais operações um aplicativo tem permissão de realizar.

Conceitualmente, um ambiente de simulação pode ser representado como na Figura 1. 


Figura 1. Dois aplicativos Android, cada um em seu próprio ambiente de simulação ou processo básico

O aplicativo Android é executado em seu próprio processo do Linux e lhe é atribuído um ID de usuário exclusivo. Por padrão, os aplicativos são executados dentro de um processo básico de ambiente de simulação sem permissões atribuídas, evitando, desta forma, que tais aplicativos acessem o sistema ou os recursos. 

Aplicativos Android podem solicitar permissões, no entanto, por meio do arquivo de manifesto do aplicativo.

Aplicativos Android podem permitir o acesso a seus recursos por outros aplicativos ao:

• Declarar as permissões de manifesto apropriadas
• Executar no mesmo processo com outros aplicativos confiáveis e, portanto, compartilhar o acesso a seus dados e código

O último caso é ilustrado na Figura 2. 


Figura 2. Dois aplicativos Android executando no mesmo processo

Diferentes aplicativos podem ser executados no mesmo processo. Para esta abordagem, é preciso primeiro assinar esses aplicativos usando a mesma chave privada e, a seguir, atribuir a eles o mesmo ID de usuário do Linux usando o arquivo de manifesto, definindo o atributo do manifesto android:sharedUserId com o mesmo valor/nome. 


ID do usuário: Linux versus Android

Enquanto que um ID de usuário no Linux identifica um dado usuário, no Android, um ID de usuário identifica um aplicativo. IDs de usuário são atribuídos quando o aplicativo é instalado e permanecem pela vida útil do aplicativo no dispositivo. Permissões dizem respeito a permitir ou
restringir o acesso do aplicativo (em vez de usuários) aos recursos do dispositivo.

Clique aqui e continue lendo. Ainda tem muita informação

Leia também...

• Por que se preocupar com a segurança?
• Segurança no código Java com JAAS

Fonte: Linguagens para Software 

O crime digital se sofisticou e exige novos cuidados das empresas

Por Ricardo Almeira

Apesar da constante guerra entre as potências da época, o maior medo que rondava o Caribe dos séculos XVI e XVII era a pirataria. Com hábitos impiedosos, bandos saqueavam navios comerciais e aterrorizavam vilas com ameaças e uso indiscriminado de força para aumentar os seus patrimônios ou simplesmente para se divertir com o sadismo que sempre os caracterizou.

Séculos se passaram, mares se acalmaram e tanto territórios quanto países cercaram-se de defesas para extirpar os piratas tradicionais de boa parte das costas do planeta. Exceto por casos isolados que ainda persistem, a batalha foi ganha com um sucesso considerável. 

Mas isso não significa que a pirataria tenha chegado ao fim: ela simplesmente evoluiu e entrou em uma nova era.

A metamorfose do dinheiro. E do crime

Nós séculos passados, o ouro rodava o mundo em baús estocados nos porões de navios.

Hoje, o dinheiro não está mais em navios. A cada dia que passa, ele sai também de bolsos e de cofres tradicionais e assume uma forma nova, característica da evolução à qual fazemos parte: a eletrônica, caminhando entre lojas online, bancos e contas diversas.

O crime, claro, está atento a isso. 

Os ataques dos piratas modernos

Protegido pelo anonimato da rede e longe das armas da polícia, organizações criminosas modernas já dão claros sinais de acumularem conhecimento e experiência em um tipo de furto mais difícil de combater.

Apenas nos últimos meses, testemunhamos invasões em sites de entidades políticas (site do PT, em 18/10/2010, e PSDB, em 25/10/2010); de serviços de hospedagem como a Locaweb (17/10/2010) e até mesmo de sites que prestam serviço de segurança, como a Kaspersky Labs (17/10/2010).

Em maio de 2009, um hacker invadiu o sistema do Twitter e conseguiu acesso administrativo a todas as contas de usuários do serviço.

Até mesmo o Google já sofreu invasões de 2009 para cá – como uma que alterou a página da empresa no Marrocos para uma tela em branco contendo mensagens do tipo “cyber-criminal esteve aqui”.

Em alguns desses casos, os prejuízos financeiros foram notórios. Em outros, as marcas tiveram que se esmerar para recuperar a credibilidade perante os seus públicos. 

A prevenção ao crime digital

Seja qual for o caso, o fato é que notícias de ataques e invasões a sites têm se tornado assustadoramente mais comuns, forçando empresas a investirem cada vez mais em segurança e a envolverem-se em um tipo diferente de guerra.

Se você está à frente de áreas digitais de empresas, é bom se preparar para combater um inimigo muito pior do que os seus concorrentes: os piratas digitais. Estes começam a se proliferar pela Web, dotados de conhecimento e motivação que varia de prazer pessoal a ambição desmedida.

Não há receita para combater um inimigo invisível – mas há, sim, algumas premissas que podem ajudar: 

1) Investimento. Sistemas de segurança, certificados e muito trabalho de programação direta. Hoje, não há como fugir de se equipar as plataformas digitais de empresas com um aparato que diminua (mesmo sem eliminar) riscos de invasão. 

2) Cuidado extra com as informações realmente delicadas. A única maneira 100% segura de um hacker não capturar informações é você não as colocar na rede. Assim, é aconselhável armazenar alguns dos dados da empresa em locais sem nenhum tipo de conexão com o mundo exterior e onde apenas poucos usuários tenham acesso. 

3) Seja discreto. Quando muitos ficam sabendo de muita coisa, guardar segredos acaba se tornando algo impossível. O que vale, portanto, é a tradicionalíssima regra militar para lidar com informação: só se deve compartilhá-la diretamente com quem precisa sabê-la – e ninguém mais. 

4) Orientação às equipes. Ainda assim, sempre haverá dados ao alcance de todos os membros da equipe – algo fundamental para que qualquer empresa informatizada consiga operar. Nesse caso, a única solução é orientar os colaboradores de maneira constante e clara sobre riscos envolvendo downloads de arquivos suspeitos, cliques em links que venham de anônimos e assim por diante. 

5) Zelo extra com operações de comerciais online. Algumas empresas de comércio eletrônico têm o hábito de armazenar dados de cartão de crédito de seus consumidores para viabilizar cobranças recorrentes ou outros tipos de operações financeiras. Isso é completamente desaconselhado. Em um processo de compra, o ideal é que a loja nem sequer tenha acesso aos dados, fazendo-os transitar de maneira criptografada da máquina do usuário até a operadora de cartão de crédito.

A partir do momento em que uma empresa armazena os dados de cartões dos seus usuários, ela está sujeita a ataques de hackers com o objetivo claro de capturar e utilizar este dados. Por mais que ela invista em segurança, esse é um risco que sempre existirá e que, caso se concretize, pode causar danos institucionais irreparáveis. 

Há ainda uma lista praticamente infinita de medidas de segurança que se pode tomar, mas caberá também ao gestor desenhar a linha entre precaução e paranóia (mesmo porque a última pode afastar os usuários). 

Mas, de todas as atitudes existentes nesse campo, a mais importante é estar permanentemente atento. A partir do instante em que o site que você estiver gerindo alcançar níveis altos de crescimento, ele chamará a atenção do crime. 

Nesse momento, você estará inserido em um eterno jogo de xadrez contra um inimigo poderoso e invisível: precisará observar pistas, suspeitar tentativas de ataques e reagir, seja trocando senhas, aumentando investimentos ou realocando dados. Preferencialmente antes que o mal seja feito. 

Fonte: IDGNOW

Leia Também: Que Hacker resiste a tanta facilidade?

Você está no LinkedIn? Então conheça o grupo Certificação Digital

Hackers podem sequestrar seus dados e exigir resgate; saiba como - Segurança - IDG Now!

Por PC World US

Publicada em 30 de novembro de 2010 às 09h00

Um ataque ransomware utiliza um cavalo de Tróia para criptografar todos os seus dados, e então exige um resgate para devolvê-los.

Malware é, essencialmente, para roubar dinheiro. Enquanto os programas spyware secretamente capturam teclas e dados sensíveis do usuário, os ataques de phishing tentam enganar o internauta para que ele entregue essas informações voluntariamente. Já o golpe ransomware utiliza uma tática muito menos sutil para exigir dinheiro diretamente em troca do retorno seguro de dados sequestrados.

Um ataque ransomware utiliza um cavalo de Tróia para criptografar seus dados, e então exige um resgate para devolvê-los. Um post no blog SecureList explica que 'este tipo de malware é muito perigoso, porque as chances de ter seus dados de volta são muito baixas. É quase o mesmo que apagá-los para sempre de seu HD.'

O ataque mais recente desse tipo parece ser uma variante do Trojan Gpcode que fez reaparece todo ano para extorquir dinheiro. Um sistema comprometido por ele exibe um pop-up do Bloco de Notas, ou muda o fundo da tela para exibir uma mensagem que diz: 'Atenção! Todos os seus arquivos pessoais foram criptografados com um forte algoritmo RSA-1024 e você não pode obter acesso a eles sem fazer o que queremos!' Este aviso é seguido por mais instruções para ler um arquivo de texto que explica que um resgate de US$ 120 é necessário para obter a chave de descriptografia.

Antes, esse tipo de ataque criava uma cópia criptografada do arquivo, mas deixava intacto o original. Esta última versão, no entanto, criptografa o arquivo original - tornando os esforços de recuperação significativamente mais difíceis, senão impossíveis.

Ao ver um aviso desse tipo, o usuário deve desligar o PC imediatamente, inclusive puxando o plug elétrico da tomada, se necessário. Como o malware trabalha em segundo plano - você pode ser capaz de salvar alguns dos dados.

Dependendo dos dados que estão sendo mantidos reféns, os US$ 120 podem parecer um resgate razoável. Se você considerar a quantidade de esforço necessário para tentar salvar os dados, ou a tentativa de quebrar o algoritmo de criptografia, essa quantia pode até ser um troco.

Por isso, lembre-se sempre: seus dados devem ser salvos em uma mídia externa. Se você fazer backup regularmente, você pode simplesmente eliminar o Trojan do sistema comprometido e restaurar tudo com a partir das cópias.

Tony Bradley
Fonte: IDGNOW

Simpósio de Gestão Pública e TI – PE

O evento teve início ontem e vai até dia 1 de dezembro de 2010.

É organizado pelo Governo do Estado, por meio da Secretaria de Administração - SAD e da Agência Estadual de Tecnologia da Informação – ATI.

Neste ano, o tema central do evento é "TIC revolucionando as políticas públicas".

Pretende-se abordar questões relacionadas ao uso da TIC – Interatividade, Serviços e Uso Estratégico da TI, e proporcionar uma visão sobre como a TIC poderá contribuir e convergir na aplicação das políticas públicas.

O Simpósio contará com a participação de palestrantes renomados que concentram informações sobre relevantes temas e atualidades do mercado, proporcionando aos participantes um ambiente adequado e estimulante para o desenvolvimento de relacionamentos e de conhecimentos. 

Destaco duas palestras

Dia 30/11 às 9:00 hs

Painel: Impacto do RIC - Registro Único de Identificação Civil no governo eletrônico 

Palestrante: Paulo César Coelho Ferreira, Presidente da PRODERJ e Presidente do Conselho de Associados da ABEP - Associação Brasileira de Entidades Estaduais de Tecnologia da Informação e Comunicação.

Palestrante: Renato da Silveira Martini, Diretor-Presidente do Instituto Nacional de Tecnologia da Informação e Secretário-Executivo do Comitê Gestor da Infraestrutura de Chaves Públicas Brasileira, Membro titular do Comitê de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República e do Comitê Gestor da Internet.

Dia 31 / 11 às 11 hs

Palestra: Como as Organizações do futuro vão virtualizar seus documentos.

Palestrante: Maria Teresa Aarão, CERTISIGN

Programa completo
Fonte: III Simposio de TI - Principal

Provedor de hospedagem de sites lança tokens de segurança

Hostnet é o primeiro provedor de hospedagem de sites no país a lançar tokens de segurança

Iniciativa pioneira no país vem para driblar os cada vez mais comuns ataques a computadores

SÃO PAULO [ ABN NEWS ] — O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br) revelou que o número de ataques a computadores, de julho a setembro de 2010, foi de quase 40 mil. Só de scans – “invasão”que identifica quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles – foram mais de 25 mil notificações. Atenta ao cenário de insegurança na internet, a Hostnet lançou o primeiro Token de segurança para sites e senhas na internet, que garante mais proteção a dados sigilosos. A novidade foi possível graças a uma parceria com a VeriSign, fornecedora de serviços de infra-estrutura de internet para o mundo digital, escolhida por mais de 95% das empresas listadas na Fortune 500 e pelos 40 maiores bancos do mundo.

Token é um dispositivo de segurança (gadget) para autenticação online que gera senhas temporárias, solicitadas juntamente com a senha quando os usuários pretendem se logar a algum sistema. Os tokens de segurança já são amplamente utilizados em transações bancárias, especialmente em contas corporativas.

A iniciativa da Hostnet permite que clientes com sites hospedados na empresa, criem áreas internas dentro de páginas que requerem um nível maior de segurança, como, por exemplo, sistemas administrativos que funcionam online ou qualquer outra aplicação que demande um nível maior de segurança. Com uma internet cada vez mais integrada aos sistemas de gestão da empresa, o acesso seguro a essa informação deverá se tornar algo cada vez mais necessário.

A tecnologia está sendo disponibilizada aos clientes da Hostnet gratuitamente através do Token celular, para ser usado através de aparelhos como iPhone, BlackBerry, Android e outros, assim como o Token Toolbar, modelo para ser utilizado no navegador Internet Explorer. O modelo físico, semelhante a um pen drive, é vendido a R$ 30.

Segundo Bruno Salgado, especialista em segurança da informação e diretor da Clavis Segurança da Informação, a Hostnet dá um passo à frente no que tange a segurança na internet, além de se adaptar às normas da série ISO 27000, que dispõe sobre as melhores práticas da segurança da informação. “A Hostnet já trabalha com a forma clássica de autenticação e agora sai na frente com a chave única digital, já que as principais normas nacionais e internacionais recomendam pelo menos duas formas de reconhecimento”.

A Hostnet, que completa 10 anos em janeiro com mais de 35 mil clientes, está entre os cinco maiores provedores de Internet do Brasil. Dentre outras iniciativas, a empresa apoia o movimento software livre e a Olimpíada de Algoritmos (www.oah.com.br), competição anual que além de revelar talentos em todo o país, estimula a disciplina algoritmo nas escolas de ensino médio e técnico.

Fonte:ABNNEWS AGENCIA BRASILEIRA DE NOTICIAS: Desde 1924 - Since 1924: BRAZILIAN NEWS AGENCY: "

Certificado de Atributo

Regina Tupinambá

O avanço da Internet e das demais tecnologias, aliado às demandas de negócios e a necessidade de organizações aprimorarem seus processos, impulsionam cada vez mais o desenvolvimento das relações no mundo eletrônico.

Em virtude da volatilidade desse meio de comunicação e relacionamento, a integridade das informações é fundamental para que haja confiança nos documentos eletrônicos.

Não menos importantes os fatores, Autenticidade, Sigilo e Valor Legal que os Certificados Digitais conferem as relações estabelecidas através do meio eletrônico.

 Eu acrescento sempre a esses quatro fatores  da certificação digital básicos, e mais divulgados, Tempestividade e Temporalidade conferidas pelo uso do Carimbo do Tempo, e também o caráter de “Alçadas e Poderes” atribuídos pelos  Certificados de Atributo.

Quem tem poderes legais para assinar e quem pode acessar documentos eletrônicos que estamos produzindo? Falaremos neste blog sobre o controle das revalidações das assinaturas de longa duração, mas isso é mais para frente.

Bem, já discorremos muito nesses últimos anos sobre PKI, ICP, Autoridades Certificadoras, Certificados Digitais, Documentos Eletrônicos, Processos Eletrônicos, Carimbo do Tempo e agora falaremos cada vez mais sobre CERTIFICADOS DE ATRIBUTO.

Ontem lendo uma matéria divulgada na Internet me motivei a escrever este artigo.

Recadastramento de funcionários e troca de senhas resolverá o problema de acesso indevido em curto prazo, mas não é a solução definitiva. O ideal seria a utilização de CERTIFICADOS DE ATRIBUTO.

Senhas são armazenadas e podem ser acessadas e utilizadas com facilidade por terceiros que não o usuário atrelado a ela. Certificados de atributos, não. A penalidade para o compartilhamento de senhas não garante que o usuário não será vítima do furto de sua senha. Sempre a ele será dado o direito ao “REPÚDIO” a autoria de uma determinada ação.

Os certificados de atributos devem ser utilizados em conjunto com certificados digitais o que aumenta a segurança para instituição e para os próprios titulares.

Certificados de Atributos são baseados em Certificados Digitais (X.509), porém seguem outra abordagem. Enquanto os Certificados Digitais tem um caráter de Identificação, os Certificados de Atributos possuem um caráter de Autorização

O Certificado de Atributo dá acesso à sistemas operacionais, aplicações, dados e até mesmo à ambientes físicos. Ao proprietário é atribuído em um dos campos do certificado, um atributo que lhe permite os acessos e o credencia para assumir responsabilidades. 

Uma vez que, seu portador deixe de possuir um atributo, por qualquer motivo (demissão, revogação de licença de exercício de profissão, mudança de cargo, empresa ou endereço empregatício etc.) somente será preciso que o emissor revogue o certificado de atributo, permanecendo válido o certificado pessoal, por exemplo, o e-CPF que só pode ser revogado pelo próprio titular.

O tema esta sendo discutido no momento pelo Comite Gestor da Internet do Brasil.

Enquanto um certificado digital é emitido por uma AC- Autoridade Certificadora e o Carimbo do Tempo por uma ACT- Autoridade de Carimbo do Tempo , os Certificados de Atributo são emitidos pelas AA, Autoridades de Autenticação.

Certificado de Atributo já vem sendo discutido pela FEBRABAN o que pode ser acompanhado pela matéria feita durante o evento CIAB 2010 quando a representante do Banco do Brasil Francimara Viotti fala sobre esse recurso para os bancos.

Certificados de Atributo serão utilizados não só por órgão públicos ou Bancos,  mas por empresas em geral, hospitais, laboratórios, indústria etc...

Falarei mais sobre o tema em breve

Regina Tupinambá

TCU aponta falhas na segurança de dados de 65% dos órgãos federais

Vazamento na Receita é ‘exemplo de falta de segurança’, diz secretário.

Claudia Bomtempo
Da TV Globo

 Levantamento do Tribunal de Contas da União (TCU) apontou falhas na segurança de dados em 65% dos órgãos públicos federais. O levantamento foi feito este ano em 265 órgãos públicos, entre hospitais, universidades, ministérios, centrais de pagamento de benefícios e tribunais.

Secretário da Receita se diz ‘constrangido’ com violação de sigilos de tucanos“O caso do vazamento da Receita Federal é um exemplo de falta de segurança”, diz o secretário de Fiscalização de Tecnologia da Informação do TCU, Claudio Castello Branco. Segundo ele, 97% dos funcionários dos órgãos não têm nem treinamento para retomar o sistema depois de uma pane.

“Toda a administração pública está ficando eletrônica, e é preciso combater o risco de perda de informações em processos judiciais, por exemplo”, alerta Castello Branco.

Procurado pelo G1, o Ministério do Planejamento informou que só vai se manifestar sobre o assunto quando for oficialmente informado do levantamento pelo TCU.

O TCU não divulga qual a situação de cada órgão, mas, segundo o tribunal, os que estão com melhor índice de segurança são os bancos públicos.

Os ministros do TCU apontam a necessidade de adoção de ações "urgentes" para atualizar os sistemas nos órgãos e proteger os dados sigilosos com eficiência.

Eles receberam este ano R$ 12,5 bilhões para isso. Segundo o tribunal, o “descontrole” pode ser visto como mau uso da verba do Orçamento da União.

“A fraude eletrônica hoje é a mais limpa e a mais difícil de rastrear”, diz Castello Branco. “Os sistemas de informação são o coração da administração pública. Se ela falha, tudo pode parar;

Fonte: Portal G1
9/09/2010

Governo informou que só vai se manifestar após receber levantamento. Vamos aguardar.