Google e Dropbox unem esforços por maior segurança

simply-secureApesar do papel essencial que exerce no ramo da tecnologia, a segurança não é exatamente o que há de mais amigável para os usuários. Mas os gigantes Google e Dropbox parecem acreditar que esse cenário pode ser revertido – tanto que, nos últimos dias, ambas anunciaram a criação da Simply Secure, uma organização cujo foco é tornar os diferentes métodos de proteção de contas, por exemplo, mais fáceis de usar.

A iniciativa ainda conta a participação de especialistas em segurança e da Open Technology Fund, fundação que “usa dinheiro público para apoiar projetos voltados à liberdade na Internet”. De acordo com o comunicado oficial da parceria, as ferramentas de segurança voltadas ao consumidor “existem e são efetivas”. No entanto, como o recente caso de vazamentos de fotos íntimas de celebridades deixou mais claro, elas não são exatamente muito adotadas.

Conforme acredita a nova organização, isso ocorre porque essas técnicas são “inconvenientes ou confusas demais para o usuário comum” – o que não deixa de ser verdade em casos como o da criptografia. E é aí que entra a parceria: ela pretende fazer com que essas tecnologias de segurança se tornem mais “acessíveis e fáceis de entender”, como descreve o comunicado. Mas como?

Comunidade open source – Também de acordo com o texto oficial, o fruto da parceria trabalhará em conjunto com a comunidade open source para desenvolver novas ferramentas, sempre mais fáceis de usar – ou tornar as já existentes mais amigáveis.

O raciocínio, portanto, é simples: sem comprometer a usabilidade de serviços e aplicações, essas novas tecnologias deverão tornar menos “traumática” a relação das pessoas com as soluções de segurança. Com isso mais os benefícios atrelados, torna-se bem mais provável a adoção maciça por usuários, mesmo os que têm pouco conhecimento técnico.

A organização começará a atuar já nos próximos meses. Segundo o próprio site, ela colocará desenvolvedores em contato com pesquisadores para fortalecer a colaboração entre os dois lados e ainda patrocinará estudos de usabilidade para ferramentas open source já muito utilizadas atualmente – embora nenhuma tenha sido especificada em um primeiro momento.

Liderada por Sara Sinclair Brody, que já atuou como gerente de projetos do Google, a Simply Secure ainda se compromete a fazer tudo de forma transparente, como “manda o protocolo” da comunidade de código aberto. Desenvolvedores, pesquisadores e criadores de soluções de segurança interessados já podem começar a propor parcerias – e o mesmo vale para quem quiser custear os esforços da nova iniciativa.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Descoberta nova falha de segurança no iOS

Há algumas semanas, uma falha de segurança no iCloud fez com que várias fotos de pessoas famosas vazassem na web. Agora, mais uma falha, dessa vez no iOS 7 e 8 permite que qualquer pessoa poste atualizações de status no Facebook de usuários de iPhones com essas versões do SO sem desbloquear o aparelho.

O problema acontece na verdade com a Siri, a assistente pessoal da Apple que ainda não está disponível em português. Se você deixar esse recurso ativo na tela de bloqueio do seu smartphone, ela permitirá fazer algumas ações sem que você de fato digite sua senha ou confirme sua impressão digital.

Além de postar conteúdo no Facebook, a Siri permite ainda conferir suas mensagens não lidas, verificar suas anotações, ver seu histórico de chamadas e até ler detalhe de contatos específicos na sua agenda.

Para explorar a falha, basta segurar o botão home de um iPhone e dizer “Post to Facebook”. A assistente vai perguntar o que você deseja postar. Depois de ditar a atualização de status, você confirma a operação e pronto. Tudo isso, sem digitar sua senha. O mesmo acontece com as demais falhas explicadas no vídeo acima.

A Apple ainda não se pronunciou quanto à falha, mas já é praticamente tradicional encontrar problemas na tela bloqueio do iOS. Há alguns meses, um usuário descobriu uma sequência de movimentos que acabava por dar acesso a algumas funções do smartphone da Apple sem nunca confirmar as credenciais do dono.

Para evitar problemas com essa nova falha, basta acessar a tela de configurações do iOS e desmarcar a Siri na seção que remete à tela de bloqueio. Com isso, sempre que alguém quiser usar a assistente, terá antes que desbloquear o smartphone.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Como se proteger de ameaças em redes sociais

redes-sociaisUma das melhores maneiras de se proteger em redes sociais é tomando muito cuidado com os links que você clica, os vídeos que você acessa e, principalmente, os aplicativos que você baixa via Facebook ou Twitter, por exemplo.

Também tome cuidado com quem você está se conectando, pois além do próprio perfil ser um spam, cibercriminosos podem facilmente coletar informações vitais para realizar ataques. Depois, seu Facebook começa a enviar spams para todos os seus amigos, os quais te escrevem desesperados dizendo: “pare de me mandar vírus”, você mais desesperado ainda nos escreve perguntando “como posso me livrar de vírus no meu Facebook” e eu com o maior prazer respondo: “troque a sua senha”.

E é só isso? Bem, para parar com os spams sim, mas para resolver sua vida não! Além de passar a ter mais cuidado com a maneira como você surfa online, faça uma varredura completa da sua máquina para ter certeza de que ela não foi infectada através de links que você baixou nas redes sociais.

E um último detalhe: instale somente um antivírus em seu PC, pois dois softwares de segurança juntos vão se conflitar, deixando brechas para grandes ataques.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: Avast blog

Falha do navegador possibilita roubo de dados no Android

android_falhaCookies e senhas armazenadas podem ser capturados. Vulnerabilidade não existe na versão 4.4 do sistema.

O especialista em segurança Rafay Baloch identificou uma vulnerabilidade no navegador padrão do sistema operacional para smartphones e tablets Android, do Google, que permite burlar um importante recurso de segurança chamado de “same origin policy” (SOP). Esse recurso impede que um site acesse dados de outro site, como senhas armazenadas e cookies.

Um invasor pode usar a falha para criar uma página maliciosa que acessa dados que foram armazenados pelo navegador para uso em outros sites, como senhas memorizadas. Basta que o internauta visite o site para que os dados sejam extraviados. Também existe a possibilidade de que um site possa “controlar” a ação do usuário em outro, realizando postagens sem autorização do internauta, por exemplo.

A vulnerabilidade foi descoberta há alguns dias, mas foi ignorada pelo Google porque a empresa não conseguiu reproduzir o problema. Agora, no entanto, a falha foi confirmada.
O problema foi encontrado por Baloch na versão 4.2.1 do Android, mas outros especialistas já confirmaram que ela funciona em qualquer sistema anterior ao 4.4. Quem possui o Android 4.4 ou mais recente, portanto, não está vulnerável.

Quem não pode instalar essa versão do Android pode usar um navegador diferente do padrão do sistema, como o Opera ou o Firefox. Ainda não há uma correção de segurança disponível para as versões anteriores.

Entenda o problema

Caso você tenha configurado o navegador do Android para lembrar uma senha ou tenha marcado uma opção como “lembrar de mim” em um formulário de login para não precisar fazer login novamente, um site malicioso pode capturar as credenciais de acesso e acessar sua conta naquele site.
Em um navegador moderno, um site é impedido de tentar acessar informações armazenadas pelo navegador para uso em outro site, protegendo o internauta. Em outras palavras, uma página carregada pelo navegador só pode acessar informações pertencentes a ela própria, ou “da mesma origem”. Com a brecha, um site “B” consegue convencer o navegador do Android a ceder informações do site “A”.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: G1

As 10 principais iscas para golpes no facebook

FacebookA empresa de segurança Bitdefender emitiu um alerta recentemente sobre as 10 principais iscas para golpes de cibercriminosos no Facebook. “Em redes com grande número de usuários, estas postagens aparentemente ingênuas acabam contaminando todo o ambiente”, analisa o diretor Eduardo D´Antona.

Confira abaixo as ameaças listadas pela empresa e evite dar atenção a elas:

1 – O falso livro de visitas - Um dos principais posts virais, que já ronda as redes sociais há muito tempo, é o famoso aplicativo para ver quem visitou o seu perfil, em muitos casos prometendo até estatísticas de perfis divididos por sexo. Diferentemente do quase extinto Orkut, o Facebook não oferece esse recurso, portanto, o melhor é não ceder à tentação de baixar aplicativos maliciosos no computador.

2- Não tente mudar a cor de sua página - Outro golpe já bastante conhecido é o que promete a mudança da cor do Facebook por meio de um aplicativo. Na melhor das hipóteses, essa falsa promessa levará o usuário a baixar vários “add-nos” no computador, fazendo com que este passe a enxergar a sua página com outra cor ou estilo. No entanto, como não provém de fontes confiáveis, a atitude mais sensata é resistir à aparente mudança.

3 – O fim do Facebook? - Uma popularíssima circular alerta os usuários para o fim do Facebook ou início das cobranças para a utilização da rede social. Mas é apenas outra isca bastante utilizada pelos cibercriminosos. Tal como o fim do mundo, também é impossível prever quando será o fim do Facebook. E sobre as supostas cobranças, a resposta está no próprio termo na página da rede social. Com essa informação em mente, a orientação é que o usuário simplesmente ignore qualquer mensagem do gênero.

4- Botão “Descurtir” só para desfazer a ação de clicar em “curtir” - A adição de novos botões, tais como os tão esperados “descurtir” (como alternativa ao botão curtir, e não de desfazer a respectiva ação) ou “love”, definitivamente, são capazes de despertar a curiosidade dos usuários. Mas, infelizmente, a tradição do facebook parece agradar a maioria dos seguidores, basta lembrar-se das decepções que sucederam a mudança da aparência da timeline. Então, o mais provável é que qualquer notícia sobre tais funções não tenha procedência lícita. Em todo caso, uma breve pesquisa no google pode dirimir a dúvida.

5 – Recuse “presentes” do eBay - Vale-presentes ou brindes legais gratuitos para os primeiros 10 mil participantes realmente parecem irresistíveis, mas dar 10 mil cartões, a US$200 cada, totalizando US$ 2 milhões, não parece uma atitude muito verossímil da parte do e-Bay. Se tal iniciativa fosse real, seria merecedora de ao menos uma manchete nos principais meios de comunicação. Como tal manchete não existiu, então com certeza é uma farsa.

6 – Fuja das mutilações em público - Curtir e compartilhar vídeos com imagens atrozes de animais mutilados e sofrimento de crianças infelizmente são ações comuns no facebook e demais redes sociais. Movimentos sociais e sensibilização de causas são instrumentos poderosos nas mãos de cibercriminosos que conseguem despertar falsas ideias de solidariedade ao disseminarem imagens desse tipo. Felizmente, uma rápida pesquisa online acerca do conteúdo proposto, facilmente poderá ajudar o usuário a distinguir o verdadeiro do falso.

7 – Não tente assistir ao que ninguém consegue - Aquela máxima de que “quanto menos pessoas viram, mais interessante se torna” também é levada em conta para a criação de mensagens maliciosas. Vídeos com a chamada “X porcento de pessoas não conseguiram assistir a esse vídeo por mais de xx segundos” continuam fazendo muito sucesso na rede social. Geralmente, vêm acompanhados de uma imagem pornográfica para atiçar o interesse da vítima. O ideal é manter-se longe dessas pegadinhas.

8 – O perigo mora com as estrelas - Não é de hoje que as celebridades servem de pano de fundo para a disseminação de diversos tipos de campanhas, sejam elas lícitas ou ilícitas. E quando esses nomes vêm atrelados a temas como sexo ou morte, tornam-se ainda mais poderosos. Curiosidade, nesse caso, é o nome da praga que pode fazer com que o usuário coloque sua rede em risco. É melhor dizer NÃO.

9 – Esqueça vídeos íntimos das celebridades - A mesma reposta vale para os vídeos de sexo e imagens nuas dessas mesmas celebridades. Na maioria das vezes, elas vêm acompanhadas de uma solicitação para instalar um arquivo ou uma extensão a fim de que você tenha acesso a arquivos inéditos e não divulgados. Também não é necessário dizer que esses arquivos são apenas truques que comprometerão a segurança dos seus dados.

10 – Atualizações arriscadas - E, por fim, as velhas e falsas atualizações de Java, Flashplayer, navegadores, e afins não acabam até que o usuário instale algo, de preferência algo não autorizado, ou simplesmente um phishing. Se o estrago já estiver feito, basta desinstalar as falsas extensões do navegador. Para ver o passo a passo do Firefox, acesse a página. Ou aqui, no caso do Chrome.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

A evolução das fraudes na rede

FraudeEm duas décadas de trabalho na indústria de gestão de fraude, tenho visto muitas coisas. Lembro dos fraudadores tipo Robin Hood, que trapaceavam a sinalização dos telefones públicos e logo ofereciam à sua comunidade para completar chamadas sem depositar moedas.

Hoje estou surpreso com a sofisticação dos fraudadores que usam o ataque man-in-the-middle entre o telefone e o cartão SIM para evitar taxas de roaming internacional. Hoje nossa indústria tem evoluído tremendamente, lembro das simples soluções que tínhamos nas próprias centrais telefônicas para derrubar chamadas que excediam 55 minutos. Mas hoje existem várias soluções, novas tecnologias e algorítimos que permitem detectar com mais eficácia o comportamento fraudulento. Há também, pelo menos, cinco fóruns globais especializados que discutem todo ano essas questões.

Depois de toda essa evolução, ainda existem algumas perguntas que precisam de respostas. Quem são esses fraudadores? Estamos ganhando? O que mudou? O que pode acontecer no futuro?

Evolução da fraude de renda de chamadas

O custo das chamadas internacionais sempre foi uma motivação para a fraude. No passado, fazer uma chamada internacional era muito caro e dava oportunidade para os fraudadores ganharem dinheiro. Eles organizavam uma operadora clandestina implementando pequenos centros de atendimento para revender chamadas a custos mais baixos que as operadoras, usando linhas telefônicas fraudadas de terceiros.

Os métodos mais comuns para revenda de chamadas foram as fraudes de clonação, shoulder surfing, programação remota, transferência de chamadas e clip on. Anos depois, com a crescente popularidade do VoIP e um mercado mais competitivo dos carriers internacionais, o custo das chamadas internacionais caiu para níveis muito baixos, e a fraude de revenda de chamadas perdeu seu apelo.

Então o que aconteceu com os fraudadores? Eles não desistiram do negócio de chamadas internacionais, em vez disso eles começaram a comprar uma série de faixas de números de pequenos países das ilhas do Pacífico e começaram a ganhar dinheiro com o tráfego associado a esses números.

Quanto mais chamadas recebidas, mais dinheiro ganho. Isto levou ao surgimento de novas técnicas inovadoras para fraudes baseadas em facilitadores de fraude, como o uso de identidades falsas para facilitar a Fraude em roaming internacional, e também outras fraudes como o PBX Hacking Fraud, Wangiri Fraud, Hijacking Number Fraud, Arbitrage Fraud evoluindo assim da velha fraude de Reevenda de Chamadas para a nova fraude de IRSF (International Revenue Share Fraud).

Podemos ver hoje que estes fraudadores anunciam abertamente na Internet o pagamento de recompensa e um percentual das receitas para a terminação de chamadas a esses numeros. Estes são bons exemplos de como os fraudadores mudaram o seu modus operandi para ganhar dinheiro.

Evolução da fraude Bypass

O custo de interconexão entre as operadoras tornou-se outro grande atrativo para o fraudador, levando ao surgimento da fraude de Bypass. Antes da era do VoIP, o tráfego de chamadas entre países utilizava principalmente cabo marítimo, fibra óptica e satélite, que resultavam em altos custos de interconexão.

Os fraudadores viram uma oportunidade na compra de tráfego de voz e entrega por meios mais baratos, tais como canais de VSAT (Very-small-aperture terminal) e linhas alugadas. Isto se tornou ilegal ao desviar o tráfego internacional para operadoras locais principalmente usando linhas fixas. Lembro-me de operadoras que utilizam técnicas de detecção da fraude tais como levantamentos aéreos para procurar antenas VSAT sobre os telhados das casas.

Hoje, muitos anos depois, ainda temos o custo de interconexão, mas, com mais de 5 bilhões de telefones celulares, há mais tráfego do que nunca. O que vemos agora é o mesmo tipo de fraude, mas drasticamente evoluída. Há centenas de micro-operadoras em todo o mundo entregando ilegalmente tráfego de chamadas, voz e dados atraves de grey routes, usando sofisticados SIMBOXscontrolados remotamente.

Os fraudadores podem colocar até 20 mil cartões SIM nestes dispositivos e simular o comportamento humano, o que torna difícil detectar esse tipo de fraude, alem disso o volume de novos cartões SIM de substituição é tão imediato que a fraude é difícil de parar.

O resultado? Os fraudadores estão entre as criaturas mais evolutivas e criativas do planeta. Assim a Fraude de Bypass evoluiu para novas variações, de SIMBOX Inteligente, FAS (False Answer Supervision) e o novo fraude de Skin-SIM Card do tipo call back para roaming internacional.

Evolução da fraude subscription

Um tipo de fraude que continua existindo sem muita mudança é a fraude de subscrição, isto porque o documento de identidade RG junto as técnicas de falsificação e roubo, permanecem as mesmas; e mesmo introudizindo a biometria haverá sempre os fraudadores que usam terceiros para cometer seus crimes (pessoas que vendem suas identidades ou são coagidas).

Assim a fraude de subscrição continuará existindo num futuro previsível, devido à facilidade de execução e porque serve como uma porta de entrada para outros tipos de fraude. Anteriormente, os fraudadores que cometiam este tipo de fraude foram os ativadores para fraude de revenda de chamadas e outros serviços (móvel, dados, banda larga, etc), ou para entregar chamadas por Bypass. Hoje a fraude subscription é facilitada pelos dealers e pontos de vendas para ganharem comissão e a revenda de equipamentos.

O futuro

O fraudador de hoje não é mais um Robin Hood. Não é o estudante que rouba o Wi-Fi do vizinho, nem o empregado que, por vezes, faz mais chamadas do que é permitido a partir de um telefone da empresa. As operadoras devem reconhecer que os verdadeiros fraudadores são profissionais que dirigem um negócio altamente lucrativo e que querem mantê-lo por muito tempo.

Respondendo a minha pergunta inicial “Quem são estes fraudadores?”, podemos concluir que ainda enfrentamos o mesmo inimigo, como fizemos há duas décadas. O fraudador e os tipos de fraude permanecem os mesmos.

O que mudaram foram os métodos utilizados para perpetuar isso. Estes tornaram-se mais complexos. Eu só posso imaginar o nível de evolução que eles chegarão no futuro quando pularmos para 50 bilhões de dispositivos M2M conectados. Eles podem utilizar Malwaresque infectam milhares de dispositivos para incrementar tráfego e ganhar comissão, ou introduzir algoritmos de inteligência artificial em nas SIMBoxs para anular os nossos controles.

A batalha deve continuar porque a fraude tornou-se uma indústria que está ferindo as operadoras. Cabe a nós, fornecedores, continuar criando soluções inovadoras que ajudem as operadoras nessa luta, detectando precocemente as fraudes e minimizando as perdas.

As operadoras e os profissionais de gerenciamento de fraude devem estar cientes de que a fraude não foi erradicada e que ainda há muito trabalho a ser feito.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Computerworld

Windows 9 está chegando

microsoft_eventoA Microsoft anunciou nesta semana a realização de um evento sobre o sistema operacional Windows, que está marcado para o dia 30 de setembro, em São Francisco, na Califórnia. A companhia irá falar sobre versões do sistema para consumidor final e para o segmento corporativo.

Como bem aponta o The Verge, a expectativa é de que a empresa disponibilize o Windows Technical Preview após este evento. Dessa forma, desenvolvedores de aplicativos e profissionais de TI poderiam realizar as mudanças necessárias para preparar a chegada do novo sistema ao mercado.

O anúncio acontece após a divulgação de uma série de imagens do suposto Windows 9. Uma das principais novidades seria a volta do menu iniciar, que foi eliminado pela Microsoft no Windows 8.

Recentemente, a adoção do Windows 8 cresceu e o sistema agora é mais usado do que o Windows XP no Brasil.

Fonte: Info
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 494 outros seguidores