Dicas da Serasa para escapar de golpes nas compras das férias

A época de férias costuma vir acompanhada de um aumento nas compras on-line de viagens e passeios, o que também costuma chamar a atenção de cibercriminosos.

Para evitar ser vítima desses invasores, que querem roubar senhas, dados pessoais e financeiros dos consumidores, é importante atenção redobrada na hora de fazer compras e reservas pela Internet.

Dicas de segurança

Confira abaixo algumas dicas destacadas pelos especialistas da Serasa Experian para não cair em golpes e fraudes nesta época do ano.

-Ao ingressar em um site, verifique se ele possui certificado de segurança. Para isso, basta checar se o http do endereço vem acompanhado de um “s” no final (https). Há ainda certificados que ativam um destaque em verde na barra do navegador;

-Não faça cadastros em sites que não sejam de confiança;

-Lembre que hackers usam técnicas para incluir links falsos em sites de busca. Muitas vezes até compram espaço nesses mecanismos para atrair usuários desatentos. Ao fazer buscas como “Promoções de férias”, prefira sites de lojas conhecidas ou tenha certeza de que a loja com a suposta promoção existe de verdade.

-Tenha cuidado com sites que anunciam ofertas ou produtos por preços muito inferiores à média do mercado;

-Essas ofertas podem muitas vezes serem enviadas por e-mails. Evite abrir os que pareçam exagerados e com valores muito baixos e vantajosos;

-Não compartilhe dados pessoais nas redes sociais que possam ajudar os golpistas a se passarem por você;

-Mantenha atualizado o antivírus do seu computador, diminuindo os riscos de ter seus dados pessoais roubados por arquivos espiões;

-Evite realizar qualquer tipo de transação financeira utilizando computadores conectados em redes públicas de Internet;

-Ao usar computadores compartilhados, verifique se fez o log off das suas contas (e-mail, internet banking etc.).

-Utilize senhas fortes, que tenham também caracteres especiais. Não repita as mesmas senhas em diferentes plataformas de acesso.

Fonte: IDGNow!

Ótimo DNS para smartphones focado em privacidade

A Cloudflare lançou em abril deste ano um novo DNS focado em privacidade e velocidade, o 1.1.1.1. Agora, o serviço criado em parceria com a Asia-Pacific Network Information Centre (APNIC) também está disponível para uso em conexões móveis em celulares e smartphones. A novidade está disponível por meio de aplicativos para Android e iOS.

A ideia por trás da iniciativa é garantir mais privacidade para quem navega em conexões públicas. Nelas, “as pessoas podem ver que sites você visita [e] ainda pior, o seu provedor de internet possivelmente está vendendo todo o seu histórico de navegação para quem pagar mais”, registra a empresa.

Diante desse cenário o app 1.1.1.1 pode ser rapidamente ativado para revestir de segurança a conexão feita a partir do seu dispositivo móvel. Assim como na versão para desktop do serviço, ele também consegue atuar de forma mais ágil do que os seus principais concorrentes, reforçando a ideia de resolvedor de DNS mais rápido do mundo.

Para usar o aplicativo, basta fazer o download em seu smartphone ou tablet — ele já está disponível gratuitamente na Play Store e na App Store.

Fonte: Tecmundo

As maiores ameaças aos smartphones

A segurança de dispositivos móveis está no topo da lista de preocupações de todas as empresas nos dias de hoje – e por um bom motivo: quase todos os funcionários agora acessam rotineiramente dados corporativos a partir de smartphones, e isso significa manter informações confidenciais fora das mãos erradas é um quebra-cabeças cada vez mais complexo.

As apostas em segurança são mais altas do que nunca: o custo médio de uma violação de dados corporativos é de US$ 3,86 milhões, de acordo com um relatório de 2018 do Ponemon Institute. Isso é 6,4% mais do que o custo estimado no ano passado.

As apostas em segurança são mais altas do que nunca: o custo médio de uma violação de dados corporativos é de US$ 3,86 milhões, de acordo com um relatório de 2018 do Ponemon Institute. Isso é 6,4% mais do que o custo estimado no ano passado.

Embora seja fácil se concentrar no assunto malware, a verdade é que infecções por malware móvel são incrivelmente incomuns no mundo real – com suas chances de ser infectado significativamente menores do que suas chances de ser atingido por um raio, de acordo com uma estimativa. Isso graças à natureza do malware móvel e às proteções inerentes aos sistemas operacionais móveis modernos.

Os riscos de segurança móvel mais realistas encontram-se em algumas áreas facilmente negligenciadas, e espera-se que todas elas se tornem ainda mais prementes no próximo ano. Saiba o que deve estar no seu radar:

1.Vazamento de informações

Pode soar como um diagnóstico do urologista robótico, mas o vazamento de dados é amplamente visto como uma das ameaças mais preocupantes para a segurança da empresa quando entramos em 2019. Lembre-se dessas chances quase inexistentes de estar infectado com malware? Bem, quando se trata de uma violação de dados, as empresas têm quase 28% de chance de sofrer pelo menos um incidente nos próximos dois anos, com base nas pesquisas mais recentes do Ponemon.

O que torna a questão especialmente irritante é que ela muitas vezes não é nefasta por natureza; em vez disso, é uma questão de os usuários inadvertidamente tomarem decisões imprudentes sobre quais aplicativos podem ver e transferir suas informações.

“O principal desafio é como implementar um processo de verificação de aplicativos que não sobrecarregue o administrador e não frustre os usuários”, explicou Dionisio Zumerle, diretor de pesquisa de segurança móvel do Gartner.

Ele sugere a adoção de soluções de defesa contra ameaças móveis (MTD – mobile threat defendse) – produtos como o Endpoint Protection Mobile da Symantec, o SandBlast Mobile da CheckPoint e o zIPS Protection da Zimperium. Esses utilitários analisam os aplicativos em busca de “comportamentos com vazamentos”, disse Zumerle, e podem automatizar o bloqueio de processos problemáticos.

Naturalmente, nem sempre isso cobre vazamentos que ocorrem como resultado de um erro evidente do usuário – algo tão simples quanto transferir arquivos da empresa para um serviço público de armazenamento em nuvem, colar informações confidenciais no lugar errado ou encaminhar um email para um serviço não intencional.

Esse é um desafio que a indústria da saúde está atualmente tentando superar: de acordo com a especialista em seguros Beazley, “divulgação acidental” foi a principal causa de violação de dados relatada por organizações de saúde no terceiro trimestre de 2018. Essa categoria combinada com vazamentos internos foi responsável por quase metade de todas as violações relatadas durante esse período de tempo.

Para esse tipo de vazamento, as ferramentas de prevenção contra perda de dados (DLP – data loss prevention) podem ser a forma mais eficaz de proteção. Esse software é projetado explicitamente para evitar a exposição de informações confidenciais, inclusive em cenários acidentais.

2. Engenharia social

Apesar da facilidade com que alguém poderia pensar que os contras da engenharia social poderiam ser evitados, eles continuam surpreendentemente eficazes.

Surpreendentes 91% dos crimes cibernéticos começam por meio do e-mail, de acordo com um relatório de 2018 da empresa de segurança FireEye. A empresa se refere a esses incidentes como “ataques sem malware”, já que eles confiam em táticas como representação para enganar as pessoas para que cliquem em links perigosos ou forneçam informações confidenciais.

O ataque de Phishing, especificamente, cresceu 65% ao longo de 2017, diz a empresa, e os usuários móveis correm maior risco de cair devido à forma como muitos clientes de email móveis exibem apenas o nome de um remetente – tornando especialmente fácil a falsificação mensagens e enganar uma pessoa a pensar que um e-mail é de alguém que eles conhecem ou confiam.

Na verdade, os usuários são três vezes mais propensos a responder a um ataque de phishing em um dispositivo móvel do que em um desktop, de acordo com um estudo da IBM – em parte simplesmente porque um telefone é o lugar onde as pessoas provavelmente verão primeiro uma mensagem. Enquanto apenas 4% dos usuários clicam em links relacionados a phishing, de acordo com o Relatório de Investigações de Violações da Verizon de 2018. A Verizon relatou anteriormente que 15% dos usuários que foram infectados com sucesso serão filmados pelo menos mais uma vez no mesmo ano.

“Nós vemos um aumento geral na suscetibilidade a dispositivos móveis impulsionado pelo aumento da computação móvel e pelo crescimento contínuo dos ambientes de trabalho BYOD”, disse John “Lex” Robinson, estrategista de segurança da informação e anti-phishing da PhishMe – uma empresa que usa simulações do mundo real para treinar os funcionários sobre como reconhecer e responder a tentativas de phishing.

Robinson observa que a linha entre o trabalho e a computação pessoal também continua a se confundir. Mais e mais trabalhadores estão vendo várias caixas de entrada – conectadas a uma combinação de contas de trabalho e pessoais – juntas em um smartphone, observa ele, e quase todo mundo conduz algum tipo de negócio pessoal on-line durante o dia de trabalho. Consequentemente, a noção de receber o que parece ser um e-mail pessoal ao lado de mensagens relacionadas ao trabalho não parece de todo incomum na superfície, mesmo que possa de fato ser um ardil.

3. Ataques às redes WiFi

Um dispositivo móvel é tão seguro quanto a rede pela qual transmite dados. Em uma época em que todos estamos constantemente nos conectando a redes WiFi públicas, isso significa que nossas informações geralmente não são tão seguras quanto podemos supor.

Quão significativa é essa preocupação? De acordo com uma pesquisa da empresa de segurança corporativa Wandera, os dispositivos móveis corporativos usam o WiFi quase três vezes mais que o uso de dados celulares. Quase um quarto dos dispositivos se conectou a redes Wi-Fi abertas e potencialmente inseguras, e 4% dos dispositivos encontraram um ataque man-in-the-middle – no qual alguém intercepta maliciosamente a comunicação entre duas partes – no mês mais recente.

A McAfee, por sua vez, diz que o spoofing de rede aumentou “drasticamente” nos últimos tempos, e ainda assim, menos da metade das pessoas se preocupam em garantir sua conexão enquanto viajam e dependem de redes públicas.

“Hoje em dia, não é difícil criptografar o tráfego”, comentou Kevin Du, professor de ciência da computação da Syracuse University, especialista em segurança de smartphones. “Se você não tem uma VPN, você está deixando muitas portas em seus perímetros abertos.”

Selecionar a VPN de classe empresarial certa, no entanto, não é tão fácil. Como acontece com a maioria das considerações relacionadas à segurança, uma compensação é quase sempre necessária. Uma VPN eficiente deve saber ativar somente quando for absolutamente necessário, diz ele, e não quando um usuário acessa algo como um site de notícias ou trabalha em um aplicativo que é conhecido por ser seguro.

4. Dispositivos desatualizados

Smartphones, tablets e dispositivos conectados – comumente conhecidos como internet das coisas (IoT) – representam um novo risco para a segurança corporativa, pois, ao contrário dos dispositivos de trabalho tradicionais, geralmente não oferecem garantias de atualizações de software oportunas e contínuas. Isso é verdade principalmente na frente do Android, onde a grande maioria dos fabricantes é ineficaz em manter seus produtos atualizados – tanto com atualizações do sistema operacional quanto com os menores patches de segurança mensais entre eles.

“Muitos deles nem sequer têm um mecanismo de patch embutido, e isso está se tornando cada vez mais uma ameaça hoje em dia”, disse Du.

Aumentada a probabilidade de ataque à parte, um uso extensivo de plataformas móveis eleva o custo total de uma violação de dados, de acordo com Ponemon, e uma abundância de produtos de IoT conectados ao trabalho apenas faz com que esse número suba ainda mais. A internet das coisas é “uma porta aberta”, segundo a empresa de segurança cibernética Raytheon, que patrocinou pesquisas mostrando que 82% dos profissionais de TI previram que dispositivos IoT não seguros causariam uma violação de dados – provavelmente “catastrófica” – dentro de sua organização.

Mais uma vez, uma política forte percorre um longo caminho. Existem dispositivos Android que recebem atualizações contínuas oportunas e confiáveis. Até que o cenário da IoT se torne menos selvagem, cabe a uma empresa criar sua própria rede de segurança em torno deles.

5. Ataques de Cryptojacking

Mais uma vez, uma política forte percorre um longo caminho. Existem dispositivos Android que recebem atualizações contínuas oportunas e confiáveis. Até que o cenário da IoT se torne menos selvagem, cabe a uma empresa criar sua própria rede de segurança em torno deles.Ataques de Cryptojacking

Uma adição relativamente nova à lista de ameaças móveis relevantes, o crypjacking é um tipo de ataque em que alguém usa um dispositivo para minerar criptomoedas sem o conhecimento do proprietário. Se tudo isso soa como um monte de bobagens técnicas, apenas saiba disso: o processo de criptografia usa os dispositivos da sua empresa para o ganho de outra pessoa. Ele se apóia fortemente em sua tecnologia para fazê-lo – o que significa que os telefones afetados provavelmente terão pouca vida útil da bateria e poderão até sofrer danos devido a componentes superaquecidos.

Embora o crypjacking tenha se originado no desktop, houve um surto de mobilidade do final de 2017 até o início de 2018. A mineração de criptomoeda indesejada representou um terço de todos os ataques no primeiro semestre de 2018, de acordo com uma análise da Skybox Security. E os ataques de cryptojacking específicos para dispositivos móveis explodiram completamente entre outubro e novembro de 2017, quando o número de dispositivos móveis afetados registrou um aumento de 287%, de acordo com um relatório da Wandera.

Os analistas também observaram a possibilidade de usar cryptojacking via set-top boxes conectados à internet, que algumas empresas podem usar para streaming e transmissão de vídeo. De acordo com a empresa de segurança Rapid7, hackers descobriram uma maneira de tirar proveito de uma brecha aparente que torna o Android Debug Bridge – uma ferramenta de linha de comando destinada apenas ao uso do desenvolvedor – acessível e maduro para o abuso em tais produtos.

Por enquanto, não há grande resposta – além de selecionar dispositivos cuidadosamente e seguir uma política que exige que os usuários façam download de aplicativos apenas da vitrine oficial de uma plataforma, onde o potencial para código de crypjacking é significativamente reduzido – e realisticamente, não há indicação de que a maioria das empresas estão sob qualquer ameaça significativa ou imediata, particularmente dadas as medidas preventivas tomadas em toda a indústria. Ainda assim, dada a atividade flutuante e crescente interesse nesta área nos últimos meses, é algo que vale a pena estar ciente e de olho no próximo ano.

6. Violações de dispositivos físicos

Por último, mas não menos importante, algo que parece bobo, mas continua a ser uma ameaça perturbadoramente realista: um dispositivo perdido ou não assistido pode ser um grande risco de segurança, especialmente se não tiver um PIN ou senha forte e criptografia de dados completa.

Em um estudo da Ponemon de 2016, 35% dos profissionais indicaram que seus dispositivos de trabalho não tinham medidas obrigatórias para garantir dados corporativos acessíveis. Pior ainda, quase metade dos entrevistados disseram que não tinha senha, PIN ou segurança biométrica protegendo seus dispositivos – e cerca de dois terços disseram que não usavam criptografia. AInda, 68% dos entrevistados indicaram que, às vezes, compartilhavam senhas em contas pessoais e de trabalho acessadas por meio de seus dispositivos móveis.

A mensagem para levar para casa é simples: deixar a responsabilidade nas mãos dos usuários não é suficiente. Não faça suposições, defina políticas. Você vai agradecer depois.

Fonte: IDGNow! 

Chrome 71: mais segurança

chromium71O Google revelou nesta semana que o ainda inédito Chrome 71, que deve chegar em dezembro, vai ampliar o cerco da empresa contra os chamados “anúncios abusivos”. Isso porque a próxima versão do browser da gigante de buscas vai bloquear todos os anúncios dos sites que exibem esses conteúdos publicitários.

“A partir de dezembro de 2018, o Chrome 71 vai remover todos os anúncios no pequeno número de sites com experiências abusivas persistentes”, afirma o Google no blog do projeto Chromium, que funciona como base para o seu navegador, o mais usado no mundo, à frente de serviços da Microsoft e Mozilla.

Na página, o Google dá alguns exemplos do que seriam essas experiências abusivas, que incluem botões que apresentam um comportamento diferente do prometido quando são clicados pelos usuários – como um botão de play que inicia um download indesejado ou um botão de fechamento (“X”) que abre outras janelas.

Prazo de 30 dias

A companhia de Mountain View destaca ainda que os donos de sites poderão usar um serviço chamado Abusive Experiences Report, presente no Google Search Console, para verificar se as suas páginas possuem essas experiências consideradas abusivas.

De acordo com a empresa, os donos dos sites terão um prazo de 30 dias para corrigir esses problemas relatados antes que o Chrome comece a bloquear anúncios.

Fonte: IDGNow!

Em breve será possível votar de forma segura pelo celular

Votar para presidente a partir do seu smartphone? Seria possível com a ajuda da blockchain e de sensores que já habitam nossos celulares.

forma como votamos em nossos representantes parece ficar cada vez mais anacrônica a medida que smartphones passam a atender e concentrar nossas necessidades rotineiras. De aplicativos de mensagens a mobile banking, passando por delivery de comida ou ainda falantes assistentes pessoais para organizar a sua agenda, há uma versão digital e móvel para – quase – todo tipo de urgência contemporânea nossa.

Uma das fronteiras ainda a ser superada diz respeito ao processo eleitoral. Se nos fosse permitida a opção de votar por nossas telas, teríamos maior engajamento das populações ao redor do mundo? Nos Estados Unidos, por exemplo, onde o voto não é obrigatório, o país figura na 31ª posição de um ranking de engajamento que cobre 35 países, segundo a Pew Foundation. Entretanto, assegurar um exercício democrático essencial às sociedades em plataformas móveis passa por algumas complexidades – afinal como garantir a idoneidade do ato em dispositivos suscetíveis a vazamentos ou invasões? A saída, defendem especialistas, pode estar na blockchain.

O que faz da Blockchain segura?

A tecnologia surgiu em 2008 para sustentar o bitcoin – mais tarde ela viria a ser usada por outras criptomoedas, como a ether. Em resumo, a blockchain (corrente de blocos, na tradução literal) é uma espécie de grande livro contábil, onde são registradas, por exemplo, transações de valores de um emissor para um destinatário e de forma descentralizada e distribuída. Isso significa que qualquer pessoa pode ter uma cópia desses registros em seu próprio computador, basicamente como funcionam os torrents.

Dada as suas características, a blockchain configura como um protocolo da confiança. Nela, todas as transações que acontecem são reunidas em blocos, onde cada um é ligado ao anterior por um elo e cada bloco é trancado por uma chave de criptografia. Para hackear o sistema, uma pessoa precisaria hackear todos os blocos e cadeias, algo praticamente impossível. Ao mesmo tempo, dada que é pública, qualquer pessoa pode verificar e auditar as movimentações nela registradas, sejam transações de valor do bitcoin ou uma contagem de votos em uma eleição, por exemplo. Ao incorporar a tecnologia nos sistemas de votação, qualquer pessoa poderia auditar os resultados, garantindo que todos os votos foram contados corretamente e que nenhuma cédula fraudulenta foi adicionada.

O quão viável é?

Nos últimos dois anos, a blockchain tem sido colocada como a tecnologia que revolucionará o mundo. Para Don Tapscott, autor do livro “A Economia Digital: Promessa e Perigo na era da Inteligência em Rede”, a blockchain sustentará o que ele chama de “a internet do valor”. Nela, tudo que se torna um ativo, pode ser transacionado, gerenciado e comunicado de uma forma segura. Em visita a Campus Party, neste ano, Tapscott colocou a tecnologia como a saída para combater a corrupção. “A blockchain é uma plataforma que permite uma grande transparência e a luz do sol é um grande desinfetante para a corrupção”, disse ele na ocasião em coletiva de imprensa. “Não é uma boa hora para ser um político corrupto com essas tecnologia”, completou.

Entretanto, dada que é uma tecnologia emergente, muito ainda precisa ser colocado em prova. André Leon S. Gradvohl, professor de tecnologia da Unicamp e membro sênior do IEEE (Instituto de Engenheiros Eletricistas e Eletrônicos), vê a blockchain como uma grande evolução tecnológica do nosso sistema de votação, mas que ainda está amadurecendo. “Há poucas aplicações reais em sistemas de votação e ainda assim são aplicações em pequena escala”, diz em entrevista ao IDG Now!

Entre os exemplos de uso da blockchain para um processo de votação está o aplicativo desenvolvido pela ONG Democracy Earth, o Sovereign. A ferramenta recorre ao blockchain para sustentar o que chama de democracia líquida – onde indivíduos possuem mais flexibilidade na forma como usam seus votos e, na teoria, não teriam fronteiras para votar. O primeiro teste piloto do app foi durante o plebiscito pela paz na Colômbia, em 2016. A plataforma deu aos expatriados colombianos, que não puderam votar no processo oficial, uma oportunidade de participarem do plebiscito.

Nas eleições de 2018 em Serra Leoa, 70% dos votos foram armazenados e verificados na blockchain. Criada pela startup Agora, a tecnologia consiste em um sistema que armazena votos de forma anônima na cadeia de blocos. Uma vez que transações na blockchain podem ser vistas por qualquer pessoa, isso torna o anonimato do voto um desafio. Mas fornecedores da tecnologia afirmam ter chegado a formas de garantir o anonimato, algo necessário para também confiar a segurança do processo democrático.

O quão seguro é o voto no Brasil?

André Gradvohl, do IEEE, argumenta que há duas propriedades que fazem de uma eleição eletrônica segura e confiável e que não são atendidas pelo atual sistema brasileiro e que poderiam ser “atendidas” pela blockchain. A verificabilidade individual, isto é, a possibilidade de o eleitor verificar que seu voto foi contabilizado, e a verificabilidade universal, que diz respeito à confirmação que o resultado da eleição considerou todos os votos. Ter essas propriedades implementadas evitaria que alguns partidos políticos contestassem o resultado das eleições, por exemplo. “Acredito que, depois de adaptado e testado para um sistema de votação eletrônica, a blockchain pode ser útil para garantir todas as propriedades de segurança necessárias”, defende Gradvohl.

O sistema de voto eletrônico no Brasil recentemente implementou a biometria para colocar mais uma camada de segurança ao voto. Mas o professor da Unicamp é cético: “O voto eletrônico ainda possui vulnerabilidades”.

Entretanto, para comprometer o sistema eletrônico de votação no Brasil é preciso de muito tempo e recursos computacionais para quebrar a segurança. Ataques desse tipo não são impossíveis de fazer, mas não são muito viáveis. Isso porque, explica Gradvohl, os algoritmos de aleatorização dos votos foram melhorados e a chave criptográfica agora é única para cada urna. Antes, uma única chave era usada todas as urnas.

“Atualmente, essa chave criptográfica é gerada por um dispositivo específico em cada urna. Dessa forma, mesmo que um atacante consiga descobrir a chave criptográfica, ele comprometerá apenas uma única urna. Por essa razão, os esforços e recursos envolvidos para comprometer toda uma eleição talvez não sejam compensatórios para um atacante ou um grupo mal intencionado”, detalha Gradvohl.

Quando estaremos aptos a votar através de nossos celulares?

Nossos níveis de ansiedade por tecnologias futurísticas são alimentados por um catálogo generoso de obras de ficção científica via streaming. Logo, soa coerente acreditar que votar para presidente se torne algo corriqueiro até 2020. Não é o caso – infelizmente. Apesar de testes como as eleições em Serra Leoa mostrarem que a tecnologia é viável para assegurar a legitimidade do voto, há ainda uma série de testes, investimentos e autenticação no caminho.

Gradvohl lembra que a blockchain não é exclusiva para atestar a autenticidade de um voto. Mas a biometria, cada vez mais imperativa nos celulares atuais, como reconhecimento facial e leitura de impressão digital, complementaria a segurança do processo.

“Usá-los para autenticar os eleitores e contabilizar seus votos é uma possibilidade para o futuro. Antes porém, é preciso realizar muitos teste e ter equipamentos (servidores) homologados para realizar essas tarefas – autenticação, validação, contabilização dos votos. É um processo que deve demorar”, diz o professor da Unicamp e membro do IEEE.

Fonte: IDGNow!

Criptomineradores estão tomando o lugar de ramsomwares

A Kaspersky fez uma previsão no final de 2017 que se concretizou neste ano: os criptomineradores roubaram o primeiro lugar dos ransomwares na lista de ameaças mais temidas entre consumidores e empresas.

“Podemos afirmar que os ransomware estão em declínio”, comentou a empresa. “Apesar de continuarem com seus impactos dramáticos e grande potencial de assustar as vítimas, que vão desde usuários domésticos manipulados por ameaças de arquivos ilícitos e constrangedores em seus computadores até empresas pressionadas a pagarem grandes valores para recuperar acesso a arquivos críticos”.

Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo

Segundo dados da Kaspersky, o número de usuários atacados por criptomalwares caiu quase pela metade, de 1,1 milhão em 2016/2017 para 751 mil em 2017/2018. Dessa maneira, os criptomineradores assumiram o lugar: o número de detecções subiu de 1,9 para 2,7 milhões, assim como a proporção de ameaças detectadas, de 3% para 4%.

“Enquanto o ransomware aparece e aterroriza suas vítimas, os criptomineradores fazem de tudo para ficarem escondidos — quanto mais tempo trabalharem, maiores os lucros dos criminosos — e, como resultado, as vítimas podem não notá-los por um tempo”, afirma a Kaspersky. “Se você quiser testar a mineração de criptomoedas, deve levar em conta o impacto. Alguém que usa secretamente seus recursos eletrônicos pode esconder suas intenções, mas não é possível agir em total sigilo. Um computador ou dispositivo móvel que esteja executando esse tipo de atividade pode refletir algumas mudanças sutis ou mais óbvias”.

Se você quiser saber quais são as mudanças que um criptominerador pode causar no seu PC ou smartphone, veja abaixo:

  • A capacidade de resposta do sistema vai ficar mais lenta — já que a memória, o processador e o adaptador gráfico do dispositivo estão atolados para completar as tarefas de mineração
  • As baterias vão acabar muito mais rápido do que antes e os dispositivos podem superaquecer
  • Se o dispositivo tem um plano de dados, os usuários vão ver esse uso disparar

Já para se proteger, melhores práticas:

  • Atualize regularmente o seu sistema operacional e todos os programas. Sugerimos que comece agora
  • Desconfie sempre dos anexos de e-mail. Antes de clicar para abrir um anexo ou seguir um link, reflita: é de alguém que você conhece e confia? É esperado? Está limpo? Passe o mouse sobre os links e anexos para ver como estão nomeados ou para onde realmente direcionam
  • Não instale programas de fontes desconhecidas. Podem conter, e frequentemente contêm, criptomineradores maliciosos
  • Utilize uma boa solução de segurança.
Fonte: Tecmundo

Blockchain não é tão seguro quanto se fala

Todas as discussões sobre blockchain parecem começar com uma variante da expressão “hyperledger seguro e distribuído”. Não me importo com o fato de ser um hyperledger – em outras palavras, uma lista cada vez maior de registros vinculados. E não tenho nenhum problema em descrevê-lo como distribuído – nesse caso, através de uma rede ponto a ponto comunicando-se sobre um protocolo que descreve como validar novos registros adicionados à cadeia.

Mas parece-me que estamos exagerando na descrição de Blockchain como “seguro”. Essa é uma exigência alta para qualquer sistema, que deve ser provada repetidas vezes em vários níveis, cenários, aplicativos e outros contextos. Seria mais preciso descrever a tecnologia como um hyperledger distribuído protegido criptograficamente . Essa definição deixa em aberto a questão crucial: se essa tática é suficiente para reduzir a vulnerabilidade a adulterações, roubo de senhas, negação de serviço por malware e outras ameaças.

Na verdade, você não precisa ir muito longe na literatura crescente de Blockchain antes que as vulnerabilidades de segurança saltem para você. Os problemas de segurança com Blockchain parecem formar uma cadeia própria, na qual os elos fracos começam a sobrecarregar os pontos fortes transmitidos pela dependência subjacente da tecnologia em criptografia de chave pública forte. Ao contemplar o fato de que mais riqueza armazenada no mundo e valor de troca comercial estão começando a girar em Blockchains, permissionados ou não, as vulnerabilidades de segurança dessa tecnologia começam a se tornar maiores.

O Blockchain é mais do que um banco de dados distribuído – é um sistema crescente de registro no qual a economia global confiará intimamente. Então, quão seguro é, na realidade? E quanto custo, tempo e problemas algum de nós estaria gastando para colocar nossas implementações de Blockchain em um formato seguro o suficiente antes que possamos justificar a colocação de ativos de missão crítica em um hiperlink distribuído?

O que é claro é que, mais frequentemente, os usuários são o elo mais fraco do Blockchain. Os atacantes continuarão a explorar as vulnerabilidades dos endpoints – em outras palavras, nossa incapacidade de proteger as identidades, chaves, credenciais e softwares Blockchain instalados em nossos PCs, telefones celulares e outros sistemas. Na prática, isso poderia nos expor a phishing, malware e outros vetores de ataque que deixam nossos ativos baseados em cadeia – como a criptomoeda – abertos para tomada.

Quando suporta transações comerciais complexas, o Blockchain geralmente executa o que é conhecido como “ contratos inteligentes”, o que pode representar uma séria vulnerabilidade de segurança. Os contratos inteligentes, que são escritos em um Blockchain, podem codificar negócios complexos, financeiros e legais . Se tiverem acesso às chaves de um administrador de um Blockchain permissionado, os criminosos poderão introduzir contratos inteligentes falsos que permitirão acesso clandestino a informações confidenciais, roubar chaves criptográficas, iniciar transferências de fundos não autorizadas e envolver-se em outros ataques aos ativos da empresa. .

A complexidade de um ecossistema Blockchain também é uma vulnerabilidade para a qual o usuário comum pode ser indiferente. Além de precisar proteger endpoints e os sistemas que gerenciam contratos inteligentes, você também precisará garantir a segurança dos processadores de pagamento de criptomoeda e das soluções que integram Blockchains em seus sistemas de aplicativos corporativos. Isso, por sua vez, exige uma verificação intensiva da confiabilidade dos fornecedores de sistemas Blockchain, que você pode ser desafiado a fazer, considerando o quanto poucos profissionais de TI têm experiência com essa tecnologia imatura.

Infelizmente, com os novos fornecedores de soluções Blockchain estão chegando todos os dias, muitos deles podem não ter um histórico, clientes de referência ou estudos de caso em que você possa confiar para determinar sua confiabilidade.

Mesmo com provedores estabelecidos, as soluções comerciais de Blockchain podem ser novas no mercado ou lançadas em versões alfa ou beta muito antes de estarem prontas para o horário nobre corporativo, portanto você corre o risco de executar seu Blockchain em código não testado, com bugs e inseguros ainda não provado em escala.

Além disso, existem muitos protocolos Blockchain, mecanismos de contratos inteligentes, gateways e trocas em implementações, com seus próprios bugs e vulnerabilidades de segurança. Sua empresa pode estar implementando Blockchains heterogêneos – permissionados ou não, internos e B2B – em silos que suportam diversos aplicativos. Você precisará solucionar as vulnerabilidades de cada ambiente isoladamente e, se tentar conectá-las entre si ou em um ecossistema maior de Big Data, atenuar quaisquer problemas de segurança que surjam em interações complexas entre esses ambientes.

Se um dos Blockchains em que você está participando for gerenciado por um consórcio , você precisará examinar detalhadamente os procedimentos operacionais dessa organização antes de confiar que está gerenciando o ambiente de ponta a ponta com segurança rígida. Como não há regulamentos universais aos quais esses consórcios devem obedecer, você terá que avaliar as práticas de segurança de cada consórcio separadamente, sem a garantia de que o nível de segurança de qualquer Blockchain seja diretamente comparável ao de outro. O anonimato que alguns consórcios permitem aos participantes do Blockchain pode fornecer cobertura para fraudes e dificultar que as autoridades identifiquem os criminosos.

Ainda mais preocupante é o fato de que as fazendas de mineração nas quais as Blockchains públicos são construídas estão hospedadas em todo o mundo. Embora isso possa dar ao Blockchain em questão algum grau de redundância e resiliência, também pode expô-lo a depredações de operadores obscuros que trapaceiam fraudulentamente participantes inconscientes do Blockchain através do que é chamado de “51 percent attack”. Se uma das partes ou um pool de conspiradores controla mais da metade dos nós de computação atualmente usados ​​para mineração em um determinado Blockchain, pode obter a “ proof of work” consensual necessária para escrever, de forma sub-reptícia, transações fraudulentas nessa cadeia às custas de outros participantes.

Essa ameaça é especialmente aguda quando um Blockchain está sendo iniciado, quando o número de nós de mineração é pequeno e, portanto, é mais fácil para um grupo individual ou em grupo adquirir pelo menos metade do poder de computação disponível. Pode tornar-se ainda mais grave à medida que as operações de mineração sejam transferidas para nações e regiões onde a energia elétrica é barata, a fiscalização regulatória inexistente e os criminosos e terroristas sejam abundantes.

Como a indústria de Blockchain abordará essas vulnerabilidades de maneira abrangente? Para começar, a Wikibon pediu à Linux Foundation para iniciar um projeto hyperledger dedicado a estabelecer uma estrutura aberta e flexível para proteger a segurança de ponta a ponta dos Blockchains, abrangendo terminais, gateways corporativos e assim por diante. A Wikibon também pede aos fornecedores de software corporativo que incorporem segurança sólida em seus aceleradores de implantação de Blockchain .

Não se deixe levar pelo hype utópico em torno Blockchain. Esses hyperledgers de código-fonte aberto são apenas mais segmentos nos ambientes de dados de nuvem híbrida nos quais mais empresas estão implantando aplicativos de missão crítica.

Você só deve implementar o Blockchain se tiver examinado suas vulnerabilidades, instituído as salvaguardas técnicas e processuais necessárias e determinado que o valor comercial potencial supera os riscos.

Fonte: IDGNow!