Brasileiros: altamente preocupados com sua segurança na rede

Os brasileiros relataram um alto nível de preocupação com roubo de identidade e fraude bancária, com 72% dos entrevistados indicando séria apreensão, de acordo com o Unisys Security Index, que pesquisou consumidores no mês de abril de 2017 em 13 países ao redor do mundo. O estudo global avalia o comportamento de pessoas em uma ampla gama de questões relacionadas à segurança.

Os níveis mais altos de preocupação relatados pelos brasileiros estão nas áreas de roubo de identidade e fraude bancária, com 72% dos participantes apontando uma séria apreensão (entre “muito” e “extremamente”) sobre as duas questões. A maioria das pessoas (69%) também indicou temer ataques de hackers e vírus cibernéticos.

Grande parte dos entrevistados também estavam muito preocupados com a segurança das transações online (62%), segurança pessoal (61%), capacidade de cumprir com as obrigações financeiras (52%), segurança nacional (52%), além da preocupação com desastres e epidemias (51%).

A pesquisa também identificou uma queda notável na preocupação com a Segurança Nacional, com 52% das pessoas seriamente preocupadas, na comparação com as 80% registradas na última edição do estudo Unisys Security Index, realizado em 2014.

No Brasil, o índice total é 189 pontos em uma escala de 0 a 300, considerado um alto nível de preocupação e apenas dois pontos acima do índice brasileiro de 2014. No mesmo período, os números para México e Colômbia aumentaram 13 e 18 pontos respectivamente. O resultado dos Estados Unidos teve um aumento de 46 pontos; do Reino Unido, 41 pontos; da Austrália, 51 pontos e da Holanda, 59 pontos. Mundialmente, o índice aumentou 30 pontos, saltando de 143 para 173.

O estudo também revela que os níveis de preocupação com a segurança dos brasileiros são maiores entre mulheres e adultos de 25 a 34 anos, este último na comparação com aqueles com mais de 55 anos. Além disso, os que têm menor renda são mais preocupados com segurança do que aqueles com maior poder aquisitivo.

Leonardo Carissimi, diretor de Soluções de Segurança da Unisys na América Latina, explica que atualmente trabalhar apenas não prevenção de segurança não é mais suficiente, uma vez que sempre surgem ataques imprevisíveis.

Por isso ele recomenda às empresas adotarem a tática de detectar e responder e trabalhar com cyber treath intelligence, predição, micro-segmentação e biometria para proteção das informações. “Prevenir é importante, mas não é mais suficiente para garantir a continuidade dos negócios”, diz.

Security Index: 10 anos

A Unisys Corporation lançou o Unisys Security Index em 2007 para oferecer uma estatística robusta e uma análise contínua sobre o tema. O índice abrange a mudança de atitudes, ao longo do tempo, sobre oito áreas de segurança em quatro categorias: segurança nacional e desastres/epidemias, para o índice da Segurança Nacional; fraudes bancárias e obrigações financeiras, para Segurança Financeira; cyber vírus/hackers e transações online, para a Segurança na Internet; e no índice de Segurança Pessoal, o roubo de identidade e segurança pessoal.

A Unisys Security Index 2017 é baseada em entrevistas online realizadas entre 6 e 18 de abril de 2017, com uma amostra representativa de cada nacionalidade de mais de 1.000 participantes adultos dos seguintes países: Argentina, Austrália, Bélgica, Brasil, Colômbia, Alemanha, Malásia, México, Holanda, Filipinas, Reino Unido e Estados Unidos. Em cada índice nacional, a margem de erro é de 3.1%, para mais ou para menos, em um nível de confiança de 95% no índice geral, esse valor é de 0.9%.

Fonte: ti inside

WhatsApp pode não estar protegendo totalmente os seus dados

Se você tem um smartphone, é bem provável que tenha o WhatsApp instalado. O aplicativo adicionou nos últimos meses a encriptação de ponta a ponta como camada extra (e necessária) para a segurança de seus usuários. Contudo, algumas indicações vazadas na internet mostram que o WhatsApp não está protegendo a sua privacidade de maneira completa: endereços privados de IP são visíveis para servidores externos.

Outros sites ainda sabem quem você é (o IP é o ‘endereço’ do seu dispositivo) e o horário que acessa o link.

Isso significa que o protocolo fica visível em servidores que não são do WhatsApp. Assim que você compartilha links de outros sites dentro do aplicativo, os servidores e os bots do WhatsApp agem para garantir a integridade dos dados referentes ao link — isso para garantir se o domínio não é falso ou malicioso. Caso você se lembre, quando um link é compartilhado, um “preview” da página é mostrado na tela de conversa, com uma imagem e o título de uma matéria, por exemplo.

O problema acontece nesta tarefa — também chamada de ping, baseado no protocolo ICMP. Ao partir para um domínio fora do WhatsApp, é necessária uma conexão que inclui o IP do usuário. Então, os sites estão conseguindo enxergar este IP privado. Ou seja: servidores de outros sites ainda sabem quem você é (o IP é o ‘endereço’ do seu dispositivo) e o horário que acessa o link.

Fonte: Tecmundo

Site expõe publicamente dados privativos de usuários

O quanto preocupado você ficaria se o seu telefone, e-mail e endereço pudessem ser consultados por qualquer pessoa na internet? Pois é esse tipo de informação que o site Telefone.Ninja oferece gratuitamente a qualquer um que fizer uma pesquisa em sua base de dados.

Para consultar os dados basta digitar o nome completo da pessoa. Apesar de ser gratuito, o site permite um número limitado de buscas. Após dez pesquisas, ele informa que o usuário estourou seu limite de buscas gratuitas. “Por favor, aguarde alguns dias para ter seu acesso liberado novamente”, informa o Telefone.Ninja.

Será que a divulgação desse tipo de informação pode ser considerada um crime? Depende da base de dados utilizada, segundo Renato Opice Blum, professor-coordenador do curso direito digital do Insper.

“Se o site utilizou dados públicos, não é crime. A informação sobre endereço, por exemplo, pode ser consultada no cartório, é um dado público”, afirma Opice Blum.

Por outro lado, se a base de dados não for pública, pode haver indícios de crime. “Com as informações disponíveis, não é possível afirmar que existe uma ilegalidade. Hoje, as pessoas deixam informações pessoais em diversos formulários”, diz o especialista.

Uma coisa é certa: os dados informados estão desatualizados. Opice Blum consultou seus próprios dados no site. “Foi informado um endereço antigo e um telefone que não uso mais.”

Outro indício de que as informações estão velhas é que os telefones divulgados estão com oito dígitos. “Hoje, a maioria dos telefones tem nove dígitos”, afirma Fabio Assolini, analista de segurança na Kaspersky Lab.

Ele pesquisou o Telefone.Ninja para verificar se o site estava sendo usado para contaminar o computador ou celular das pessoas que fizessem pesquisa nele. “O site não possui nenhum script malicioso, nada que possa infectar o computador.”

Assolini descobriu também que o site está hospedado em Budapeste, na Hungria. “Isso acontece porque dificulta um pedido para tirar o site do ar. Se ele estivesse hospedado no Brasil, ficaria mais fácil derrubá-lo.”

Segundo ele, o dono do Telefone.Ninja possui outros domínios de pesquisa de dados: o CPF Ninja e o CNPJ Ninja. “O CPF Ninja não está em operação, mas o CNPJ Ninja está no ar.”

Assolini diz que o Telefone.Ninja não é o único site que expõe dados pessoais das pessoas. O Tudo Sobre Todos chegou a ser alvo de investigação do Ministério Público em 2015. “Esse site continua no ar. É só fazer uma busca. A diferença entre o Telefone.Ninja e o Tudo Sobre Todos é que o primeiro é de graça e outro cobra.”

Se o Telefone.Ninja não cobra, como ganha dinheiro então? Assolini afirma que é pela venda de anúncios. “Quanto mais pessoas entrarem no site, mais o site vai ganhar. Nada impede que no futuro ele passe a cobrar pela pesquisa de dados.”

Investigação

Para o procurador da Justiça do Núcleo de Suporte a Investigação de Delitos Cibernéticos do Ministério Público de São Paulo, Paulo Marco Ferreira Lima, uma investigação pode ser aberta sobre o caso, pois o servidor comete “crimes comuns”, apesar da carapuça cibernética.

“As informações dos bancos de dados foram obtidas por meio de hackeamento ou via um insider [alguém de dentro das empresas que possuía os dados] ou ainda por spam”, afirma Lima.

Essa conduta, segundo ele, classificaria a existência de crimes previstos no Código Penal, como o de receptação, por exemplo. “Essas informações foram obtidas de alguma forma, então receptação ou outros crimes normais que podem ser investigados aí”, conta.

Para Lima, é necessário atenção sobre criminosos que se utilizam das redes para cometer delitos.

“O Marco Civil da Internet diz que cada pessoa é responsável por aquilo que posta e o servidor não. Mas, minha opinião, é que prevalece o Código Civil, pois existe uma responsabilidade objetiva aí”, afirma ele.

“Quando você contrata uma empresa de encanadores, e aí um encanador estraga o encanamento ao invés de concertar, quem você processa é a agência, não o encanador”, exemplifica. “É por aí que podemos tipificar esses crimes”, completa o procurador.

Outro lado

Procurada por e-mail, o site Telefone.Ninja não respondeu ao pedido de informações da reportagem.

Em seu site, a empresa informa que obteve os dados por meio do cadastro de operadoras de telefonia. O site informa ainda que o consumidor que quiser ter seus dados excluídos da base de dados deve entrar em contato com sua operadora.

“Para garantir a exclusão definitiva de suas informações você deve entrar em contato com sua operadora e solicitar a não-divulgação de seus dados”, diz o site.

O SindiTelebrasil (Sindicato das Empresas de Telefonia) informa que não repassa os dados de seus clientes. “Ressaltamos ainda que, diferentemente de outras empresas, as prestadoras de serviços de telecomunicações não exploram comercialmente os dados de seus usuários, tanto na sua utilização como contrapartida à prestação de serviços quanto na comercialização direta dos mesmos a terceiros.”

Segundo a entidade, as prestadoras de serviços de telecomunicações atendem a todas determinações legais vigentes, como as constantes na Lei Geral de Telecomunicações e no Marco Civil da Internet.

Agradecemos ao Celso, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Veja

Apps Android trocam dados pessoais sem o seu conhecimento

Aplicativos para smartphones e tablets Android podem conspirar contra você. Uma análise de mais de 100 mil apps populares na Google Play Store mostrou que eles podem trocar suas informações pessoais sem sua permissão.

Segundo pesquisadores da Universidade Virginia Tech, o Google analisa a segurança dos aplicativos de sua loja de maneira individual. Por isso, não pode notar quando uma brecha de segurança pode permitir o acesso indevido de dados liberados para outros apps.

Os aplicativos que fazem essa troca de informações são os que parecem mais inocentes, como aqueles para mudar o papel de parede do smartphone, liberar novos emojis ou mudar o toque do aparelho. No total, 23.495 pares de apps que colaboram maliciosamente foram encontrados.

“A má notícia é que encontramos apps que podem trocar informações indiscriminadamente. A boa notícia é que essa colaboração conspiratória ainda é muito pequena”, afirmou a pesquisadora Daphne Yao, da Virginia Tech.

Segundo os especialistas ouvidos pelo New Scientist, a descoberta é um passo importante no combate ao malware no Android, que agora é a principal plataforma de acesso à internet no mundo — deixando o Windows para trás.

Fonte: Exame

Como garantir privacidade em suas conversas

messenger_appsMuitos acreditam que um aplicativo seria privado se as mensagens fossem criptografadas. Na verdade, privacidade em mensagens é muito mais complexo que isso. No Chaos Communication Congress, Roland Schilling e Frieder Steinmetz deram uma palestra na qual explicaram em palavras simples que atributos um Messenger tem de ter para ser considerado seguro.

Os seis pilares da conversa privada

Para entender a ideia da troca de mensagens privadas, Schilling e Steinmetz propuseram que imaginemos uma conversa particular em uma festa. O que faríamos para que ninguém ouvisse ? Provavelmente, procuraríamos uma sala isolada, em que apenas as pessoas com quem queremos falar pudessem nos ouvir.

Essa é a primeira característica a respeito de conversas privadas: tem de ser confidencial. Nenhuma outra pessoa, além de você e seu interlocutor, deve ser capaz de ouvir.

O segundo ponto é autenticidade – você tem de saber se a pessoa com quem você está conversando é de fato ela. Na vida real, você reconhece o rosto. Mas com as mensagens online, é mais complicado.

Se a conversa for muito importante, você quer certeza de que seu interlocutor escute cada uma de suas palavras. Mais do que isso, quer que a pessoa escute exatamente o que você diz. Isso quer dizer que para uma comunicação online se manter privativa, você precisa saber que um terceiro não corrompeu suas mensagens. Esse é o conceito de integridade.

Vamos imaginar agora que uma terceira pessoa entre na sala e escute parte da conversa. Na vida real, esse terceiro saberia apenas da parte que ouviu, não o que você estava dizendo antes ou depois. Contudo, a internet nunca esquece de nada, e as comunicações online não são tão simples quanto as offlines. Isso nos leva a dois conceitos importantes: sigilo prévio e futuro.

Digamos que o assunto discutido fosse delicado. Nesse caso, se alguém o acusasse de algo, você negaria. Se a conversa foi privada, as únicas pessoas que conheceriam o conteúdo da conversa seriam os participantes -seria a palavra de um contra a do outro. Nesse caso, ninguém pode provar coisa alguma, nos levando ao conceito de negação plausível.

Implementando privacidade em messengers

Portanto, essas são as seis características que tem de ser implementadas em um aplicativo de mensagens para que seja considerado privado. Contemplá-las é tarefa simples caso estejamos tratando de conversas ao vivo, mas no que diz respeito a serviços de mensagens há sempre uma terceira pessoa – o serviço em si. Como os seis pilares podem ser implementados com a presença desse terceiro elemento?

A Confidencialidade é mantida por meio de criptografia. Existem diferentes formas de criptografia: simétrica e assimétrica, e ainda de chave pública. Aplicativos de mensagens privados (Schilling e Steinmetz avaliaram o Threema como exemplo) usam as duas, criam chaves compartilhadas com a pública de uma e a privada de outra pessoa. O contrário também funciona.

Portanto, a senha é idêntica para as duas pessoas e única para cada um (nenhum outro par recebe a mesma chave). O aplicativo gera a senha independentemente e mantêm confidencialidade ao não transferi-la. As duas pessoas são as únicas que as conhecem, logo depois de iniciarem um diálogo.

Esse método também é usado para assegurar integridade – alguém de fora que tentasse alterar o texto já criptografado o tornaria ilegível. Nesse caso, seu parceiro de conversa ou receberia o que você enviou ou uma mensagem de erro (porque o messenger não consegue desbloquear o texto cifrado).
Para favorecer a confidencialidade ainda mais, você pode esconder o fato de que sequer teve uma conversa. Outra camada de criptografia pode cuidar disso. A mensagem enviada é criptografada, utilizando a chave compartilhada entre você e seu interlocutor – é como guardar a mensagem em um envelope, com o endereço anotado. A partir daí você a criptografa mais uma vez – como colocar em outro envelope – aí sim, é enviada para o servidor do endereço. Nesse caso, você utiliza a senha gerada com base na sua e na do servidor.

Então, esse envelope com um envelope dentro é entregue ao servidor. Se um atacante em potencial tenta espiar o envelope, eles saberão que você o enviou, mas não poderão saber o destino. O servidor do messenger retira o segundo envelope, observa o destino (não a mensagem em si), coloca em um “novo envelope”, o pacote com outra embalagem e o envia ao destinatário. Neste ponto, um espião pode ver apenas o envelope do servidor para o remetente. Mas não o que foi gerado originalmente.

Com vários envelopes voando para tudo quanto é canto, é difícil observar quem recebeu suas mensagens. Difícil, mas não impossível: se alguém pudesse pesar todos os envelopes, encontraria dois com o mesmo peso e associaria o seu com o de seu interlocutor. Para assegurar que isso não aconteça, o sistema adiciona pesos aleatórios dentro de cada envelope, dessa forma, o envelope que você mandou e o que seu interlocutor recebeu nunca pesam a mesma coisa.

É difícil de manter a autenticidade. Alguns aplicativos de mensagens usam endereços de e-mail ou números de telefone como identidade – dessa forma o usuário é autenticado. Mas números de telefone e endereços de e-mail são dados confidenciais que provavelmente você não queira compartilhá-los com o app. Alguns – como o Threema – encorajam os usuários a utilizar identidades diferentes e trocar códigos QR para confirmar sua identidade.
Negação plausível é viabilizada por meio de envio de cada mensagem para os dois participantes. A chave é a mesma para as duas pessoas, de modo que qualquer um dos dois poderia ter enviado a mensagem. Portanto, mesmo que alguém consiga interceptar e desbloquear a mensagem, não há como ter certeza de quem a enviou.

Isso cuida da confidencialidade, autenticidade, integridade e negação plausível. E quanto o sigilo prévio e futuro? Se as chaves pública e privada de alguém são as mesmas, a partir do momento que a chave compartilhada é comprometida, o atacante pode desbloquear tanto mensagens anteriores quanto futuras.

Para limitar isso, as senhas têm de ser reemitidas periodicamente pelo servidor. Se uma senha é emitida novamente, digamos uma vez ao mês, o bisbilhoteiro seria capaz de ler as conversas apenas nesse mês e não conseguiria monitorar as comunicações a partir do momento que uma nova senha é enviada (na prática, a remissão ocorre com muito mais frequência).

Fonte: Kaspersky blog

App Meitu rouba dados dos smartphones

meituComo todo app que vira modinha, o Meitu deve cair no esquecimento dentro de algumas semanas. Mas, quando isso acontecer, os usuários já terão “vendido a alma” aos responsáveis pelo aplicativo: uma investigação aponta que o Meitu coleta discretamente diversos dados críticos do smartphone.

Para quem não sabe do que eu estou falando, o Meitu é uma app chinês com filtros e ferramentas que deixam as pessoas nas fotos com visual “fofinho”, cheio de brilho, maquiagem e olhos grandes. É uma brincadeira para selfies que atende, basicamente, a um público mais jovem. Deve servir também para quem quer sacanear os amigos, é claro.

Apesar de existir há algum tempo, o Meitu se tornou, nos últimos dias, um dos apps mais baixados do Google Play e da App Store. Você já deve ter notado isso: as redes sociais estão cheias de imagens modificadas por esse app.

Tamanha popularidade fez o Meitu cair no conhecimento de especialistas em segurança que, por alguma razão, decidiram analisá-lo minuciosamente. Foi aí que eles descobriram que o aplicativo está bem longe de ser inofensivo.

Segundo as análises, o Meitu coleta diversos dados do aparelho. Isso acontece com a maioria dos aplicativos, mas aqui a coisa atinge proporções muito grandes, começando pelo monte de permissões que o app pede no momento de sua instalação — não está claro o porquê de tantas permissões serem solicitadas.

A versão para Android se mostrou a mais intrusiva, mas a versão para iOS pode obter mais informações em aparelhos com jailbreak. De modo geral, o Meitu consegue coletar e enviar para servidores na China dados como IMEI do celular, modelo do aparelho, resolução de tela, versão do sistema operacional, IP, endereço MAC, lista de contato, mensagens SMS, entre outros.

São coletados dados suficientes para que um usuário seja identificado e localizado. E olha que a empresa responsável (também de nome Meitu) comemora em seu site o fato de ter 456 milhões de usuários no mundo todo (considerando todos os seus apps), embora a maioria deva estar na China — os aplicativos da Meitu já eram populares por lá.

O que a empresa faz com dados de tantas pessoas? Uma possibilidade forte é a venda de informações para companhias que elaboram estratégias de publicidade altamente segmentada e, portanto, potencialmente intrusiva.

À CNET, a Meitu se defendeu dizendo que, como a empresa está baseada na China, precisa incluir recursos de coleta de dados nos aplicativos para contornar os bloqueios que os serviços de rastreamento do Google Play e da App Store sofrem no país. A companhia também assegurou que os dados são enviados aos seus servidores de forma criptografada e com proteção contra ataques. Ata.

Não há planos para o lançamento de uma versão do app sem os recursos de captura de dados, pois, segundo a Meitu, ela teria que atuar fora da China para poder oferecer isso. Sair da China também não está nos planos.

Fonte: Tecnoblog

WoT: remova o quanto antes esta extensão

wot
 O conhecida Web of Trust, ou WoT, vem enfrentando sérias críticas dos seus usuários depois de ter sido revelado que os dados de navegação dos internautas poderiam estar sendo vendidos ou distribuídos por terceiros , oq e levaria a sério comprometimento da segurança.

O Web of Trust trata-se de uma extensão para os principais navegadores no mercado, bem como smartphones Android, o que possibilita aos usuários votarem em determinados sites e ajudarem, de forma comunitária, a identificar potenciais sites maliciosos e os que são seguros. Esta extensão conta atualmente com mais de 140 milhões de download.

No entanto, de acordo com os relatos do portal alemão NDR, foi recentemente descoberta uma lista que O Web of Trust trata-se de uma extensão para os principais navegadores no mercado, bem como para equipamentos móveis, que permite aos utilizadores votarem em determinados sites e ajudarem, de forma comunitária, a identificar potenciais sites maliciosos e os que são seguros. Esta extensão conta atualmente com mais de 140 milhões de download.

No entanto, de acordo com os relatos do portal alemão NDR, foi recentemente descoberta uma lista que contem os hábitos de navegação para mais de 3 milhões de utilizadores na Alemanha. Esta lista foi criada tendo como base os dados recolhidos em algumas extensões de navegadores, entre as quais se destaca a WoT.contem os hábitos de navegação para mais de 3 milhões de utilizadores na Alemanha. Esta lista foi criada tendo como base os dados recolhidos em algumas extensões de navegadores, entre as quais se destaca o WoT.

Segundo a NDR, o Web of Trust anda vendendo os dados de seus usuários a terceiros, sendo que estes são posteriormente distribuídos para outras entidades como forma de analisar os hábitos de navegação. Em alguns casos, podem ter sido comprometidas algumas informações pessoais, já que os dados descobertos incluem endereços de e-mail, nomes, endereços, datas e horários de navegação, bem como ID’s específicos de cada usuário.

Na lista encontram-se mais de 3 biliões de endereços web diferentes, sendo que a grande maioria não está anônima. Estes dados podem facilmente ser associados a usuários específicos, algo que as agências de notícias baseadas na Alemanha revelaram ter conseguido realizar sem grandes dificuldades.

No caso do WoT, a empresa afirma na sua Política de Privacidade que recolhe algumas informações associadas à navegação dos usuários, que está na própria raiz de funcionamento deste serviço. No entanto é dito que estes dados são compartilhados de forma anônima com terceiros, de forma que nenhuma informação possa ser associada a usuários específicos. Entre os dados registados na Política de Privacidade, porém, encontram-se o IP utilizado na navegação e o ID dos usuários, o que poderá estar na base para facilitação da identificação.

O WoT já respondeu a esta denúncia, assegurando que os dados obtidos pela extensão podem ser compartilhados com terceiros, mas de forma anônima. Porém, o fato de os meios de comunicação da Alemanha terem conseguido combinar usuários específicos com os dados atrelados a eles indica que a política de anonimato não está a sendo corretamente aplicada.

Depois desta situação ter sido tonada pública, as extensões do WoT foram removidas das lojas de aplicativos/extensões da Google e do Firefox. Caso você tenha a extensão do WoT instalada no seu navegador, e como medida de prevenção, é altamente recomendável que você a remova o mais rapidamente possível.

Opinião do seu micro seguro: pessoalmente fui usuário da extensão WoT durante muitos anos e é com pesar que recebo esta notícia. É lamentável e ao mesmo tempo irônico que uma empresa que utiliza em seu nome o termo “Trust”, ou seja, “Confiança” , agora não seja mais digna da confiança de seus milhões de usuários mundo afora. Minha recomendação: remova o mais rápido possível essa extensão de seus navegadores!

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tugatech e NDR