Monthly Archives: agosto 2010

Trabalhadores americanos e ingleses não vêem problema no furto de dados.

Furto de Dados

Muitos trabalhadores têm confessado que estariam dispostos a furtar dados de seus ex-empregadores, quando eles mudarem de emprego.
Uma enquete on-line entre 1.594 trabalhadores em tempo integral e parcial realizada junto a empreiteiros nos Estados Unidos e no Reino Unido concluiu que cerca de um quarto (29% nos Estados Unidos e 23% no Reino Unido) furtariam listas de clientes e outros dados sensíveis quando mudassem de emprego.
Um percentual um pouco menor, 15% nos Estados Unidos e 17% no Reino Unido, furtariam projetos de produtos e planos.
Em comparação, apenas 13% nos Estados Unidos e 22% no Reino Unido, furtariam pequenos objetos de escritório.
Curiosamente, sob o ponto de vista ético, apenas uma minoria estaria disposta a comercializar dados confidenciais que obtivessem: 1% nos Estados Unidos e 0,5% no Reino Unido.
Mas uma porcentagem muito maior, 45% nos Estados Unidos e 57% no Reino Unido, admitiram que seriam incapazes de resistir à tentação de acessar um arquivo confidencial contendo, por exemplo, planos de fusão ou informação salarial.
A pesquisa, encomendada pela empresa de gerenciamento de identidade “SailPoint”, e realizada pela empresa “Harrison Interactive”, encontrou opiniões conflitantes sobre se a recessão aumentou a tentação para que trabalhadores furtassem dados.
Cerca de 45% dos entrevistados nos Estados Unidos e 48% no Reino Unido, disseram que dificuldades econômicas não os levariam a este tipo de ação.
“Ele [o] estudo destaca o que eu chamo de uma” zona cinzenta moral “em torno da propriedade de dados eletrônicos”, disse Jackie Gilbert, vice-presidente de marketing e co-fundador da “SailPoint”.
“Vemos isso no fato de que há mais trabalhadores que estariam confortáveis, em subtrair dados da empresa, tais como informações de contato de clientes, do que os trabalhadores que furtariam um grampeador”. 

Fonte: “It News Online

“Google” e liberdade de expressão: você pode ser a próxima vítima!

Vítimas da Internet

Multiplica-se dia após dia a quantidade de pessoas que reclamam quanto à impossibilidade de obterem a exclusão de algum tipo de material publicado em serviços disponibilizados pela empresa “Google”, principalmente o “Orkut”.
O Brasil é o país que mais solicita remoção de conteúdo ou “log” de registro de informações de usuários, registrando em Abril deste ano um total de 3954 pedidos, seguido de perto pelos Estados Unidos com 3703 solicitações.
Mas esta questão não aponta somente para o alto número de solicitação, mas sim para a grande quantidade de pessoas que simplesmente não querem que alguns fatos que lhes são desfavoráveis sejam de conhecimento do público, alguns até não abrangidos por qualquer forma de sigilo, o que torna a questão extremamente complexa.
Atrás de um computador muitos se sentem livres para atacar e ofender direitos de terceiros, nesses casos cabe ao judiciário decidir se o conteúdo tem potencial lesivo ao autor da ação ou se seriam apenas dados contrários aos interesses daquele que apenas quer vê-los sigilosos.
Os números do Brasil representam na sua maioria ordens judiciais proferidas em processos em que foram garantidos os direitos fundamentais do contraditório e da ampla defesa, e ainda que parte dessas ordens sejam liminares, quando o juiz determina a remoção do conteúdo sem ouvir a outra parte, nestes casos estaria claro ao juiz que o conteúdo causaria um dano, o que de forma nenhuma pode ser qualificado como uma espécie de censura.
A “Google Brasil” sempre resistiu a quebrar o sigilo que protege os usuários, mesmo em casos que poderiam configurar uma ação policial por prática delituosa em flagrante.
Inicialmente, a empresa argumentava que não conseguia obter as informações porque era apenas uma subsidiária da matriz americana, sendo que a dona do site era a empresa que fica nos Estados Unidos, argumento este que justiça brasileira veementemente rechaçou.
Em novembro de 2007, o juiz Gustavo Quintanilha Telles de Menezes, da 26ª Vara Cível do Rio de Janeiro, determinou que a Google no Brasil fornecesse ao Ministério Público e à Polícia Civil do Rio de Janeiro dados cadastrais de usuários do Orkut que praticarem crimes.
No mesmo sentido foi a decisão da 13ª Câmara Cível do TJ de Minas, que condenou a empresa a tirar do ar uma comunidade chamada “Lugar de ladrão é na cadeia” e identificar o criador.
A 3ª Câmara Criminal do Tribunal de Justiça do Rio também atendeu pedido do Ministério Público para fornecer à Justiça do estado dados cadastrais dos criadores e integrantes das comunidades “Eu sei dirigir bêbado” e “Sou menor, mas adoro dirigir”.
Em setembro de 2007, a Google Brasil anunciou que tinha passado a responder como procuradora de sua matriz, tendo seu Diretor Geral, Alexandre Hohagen, afirmado que os dados continuariam sendo armazenados nos EUA, mas que a mudança iria acelerar o processo de identificação dos responsáveis pela publicação de informações.
Mas não é somente no Brasil que a empresa “Google” cria toda uma série de estratégias e desculpas para não prestar informações, excluir material ou colaborar com investigações.
Uma consultora de empresas nos Estados Unidos estaria buscando uma ordem judicial para obrigar a empresa “Google” a entregar os nomes de pessoas que postaram comentários no “YouTube”, onde foi chamada de prostituta e teve vídeos não autorizados divulgados.
Carla Franklin, uma ex-modelo, atriz e pós-graduanda em 2008 da “Columbia Business School” em Nova York, pediu um tribunal estadual para que fossem identificados os indivíduos, os quais segundo teriam divulgado seu comportamento sexual através de contas anônimas em um site.
Também teriam sido publicados clips no “YouTube” que a mostravam como cantora em um filme independente de pequeno orçamento.
De acordo com “NYDailyNews.com”, usuários do “YouTube” identificados apenas como “JoeBloom08”, “JimmyJean008″ e “greyspector09” teriam postado declarações alegadamente falsas e maliciosas nos vídeos divulgados.
Na época da divulgação, a conta de “JoeBloom08” teria sido “fechada” sem nenhuma explicação, porém, as outras pertencentes aos outros dois usuários permaneceram acessível, muito embora estes não tivessem divulgado nenhum vídeo.
Fato é que páginas mostrando o vídeo ofensivo não foram imediatamente excluídas.
A empresa “Google” teria alegado que não iria identificar os usuários, sem uma ordem judicial válida.
Este foi o mesmo procedimento que teria ocorrido quando Rosemary Port, uma usuária do serviço “Blogger.com” pertencente à empresa, postou comentários difamatórios sobre a higiene e hábitos sexuais da modelo da “Vogue” Liskula Cohen em uma coluna já extinta intitulada “skanks”.
Diante de tais fatos, forçoso é que usuários dos serviços da empresa “Google” pensem duas vezes antes de adotá-los, pois futuramente poderiam correr o risco de verem situações como as descritas acabar por envolvê-los ou mesmo pessoas de seu círculo de relacionamento mais próximo.
Se não queremos dificuldades como as descritas aqui para nós e para pessoas que estimamos, porque tolerar que outros sejam vítimas deste tipo de comportamento fechando os olhos para ações que em última instância apenas favorece a lucratividade de uma empresa?

Como senhas inadequadas podem lhe expor a perigo.

Senhas hackeadas

A disponibilidade de ferramentas para quebra de senha baseadas em processadores gráficos cada vez mais poderosos significa que, mesmo cuidadosamente escolhidas, senhas curtas são susceptíveis de serem “hackeadas” em um ataque de força bruta.
Uma senha com menos de sete caracteres em breve será “irremediavelmente inadequada”, mesmo que contenha símbolos, bem como caracteres alfanuméricos, de acordo com cientistas da computação do “Georgia Tech Research Institute”, sendo que os pesquisadores em segurança recomendam senhas de pelo menos 12 caracteres.
As habilidades de processadores gráficos foram recentemente aplicada à auditoria de senha comerciais e ferramentas de recuperação da empresa de programação russa “ElcomSoft”.
Segundo Richard Boyd, do “Georgia Tech Research Institute” é seguro pressupor-se que hackers são capazes de usar o mesmo tipo de tecnologia para fins menos louváveis, afirmando ainda que a capacidade de processamento de números das placas gráficas se compara ao dos supercomputadores construídos há apenas 10 anos.
Embora senhas mais longas sejam melhores para resistir aos ataques de força bruta por que se baseiam em tentativas de todas as combinações possíveis de caracteres, apenas o uso de senhas já não é suficiente para garantir segurança. Os Dicionários de ataques continuam a trabalhar em senhas mal escolhidas (fáceis de adivinhar), enquanto que até mesmo senhas complexas de 20 caracteres são inúteis em máquinas que estiverem infectadas “trojans”.
Os problemas práticos na aplicação de senhas na web se tornaram uma área produtiva de pesquisa acadêmica.
Joseph Bonneau e Sören Preibusch recentemente elaboraram um documento intitulado “The password thicket: technical and market failures in human authentication on the web”, apresentado em Junho na conferência “WEIS 2010” na cidade de Boston.
No artigo, e em uma série subseqüente de quatro artigos publicados no blog “Light Blue Touchpaper”, os dois cientistas da computação realizaram uma análise de implementações de senha, com base num estudo de 150 sites populares de e-commerce, notícias e webmail.
Um dos estudos foi focado em como os usuários escolhem senhas, enquanto outro estudou como “websites” desenvolvem e aplicam políticas de segurança de senha.
Muitos sites não aplicaram as melhores práticas, tais como armazenar senhas apenas como “hashes” e bloqueando ou pelo menos otimizando várias tentativas de adivinhar os nomes de usuário ou senhas.
Também foi estudado como os sites com segurança mais baixa podem comprometer ainda mais a segurança de seus usuários devido à tendência de reutilização de senhas de vários domínios.
O estudo sugere que alguns sites de baixa segurança (tais como sites de jornais) insistem na utilização de senhas principalmente por razões psicológicas, como uma justificativa para recolher dados de clientes e como uma forma de construir relações de confiança com os clientes.
Um relatório recente e bastante didático da “Tusteer” alerta para duas estatísticas perigosas: 73% dos usuários usam suas senhas bancárias em pelo menos outro site menos sensível, e 47% dos usuários utilizam seu login e sua senha em pelo menos outro site menos sensível.
Isso equivale a dizer que quase três a cada quatro usuários usam sua senha de acesso à conta do banco em um site menos comprometedor, como sites de rede social, por exemplo.
Equivale também dizer que quase um a cada dois usuários usa não só sua senha, mas o nome de login no site do banco também em outro site menos comprometedor. “Por que isso é um problema?” alguns podem perguntar. Bem, por várias razões.
A primeira e principal delas é que sites de banco são muito bem protegidos, geralmente por várias camadas de segurança, o que torna o roubo de informações de acesso um processo muitíssimo difícil. Já os demais sites podem não ter (e em muitos casos, comprovadamente não têm) mecanismos semelhantes de proteção, o que torna o roubo de informações de acesso um processo mais acessível aos cibercriminosos.
Outro aspecto interessante é que temos barreiras e prevenções mais rígidas quanto às nossas informações bancárias quando comparadas com informações de acesso a outros sites.
Um ataque de “phishing” que nos peça dados de conta corrente tem poucas chances de ser bem-sucedido; já um ataque de “phishing” que peça para confirmarmos nossos dados de acesso ao “Facebook” ou ao “Twitter”, por exemplo, vai nos encontrar naturalmente menos desconfiados.
Um estudo feito pela “Imperva”, empresa norte-americana de aplicação de segurança de dados, revela que a maioria das senhas usadas em contas Web são seqüências numéricas que vão de “1” a “9”, sendo que a senha mais usada é “123456”.
Para o estudo daquela empresa foram analisados 32 milhões de senhas, as quais foram reveladas no site “RockYou.com” que teria sofrido um ataque de Hackers, sendo que as senhas mais usadas seriam:

1º) 123456
2º) 12345
3º) 123456789
4º) Password
5º) iloveyou
6º) princess
7º) rockyou
8º) 1234567
9º) 12345678
10º) abc123

Não poderiamos deixar de destacar que no caso de usuários brasileiros as senhas mais utilizadas acabam sendo:

1º) Deus;
2º) Numsei ou num lembro;
3º) Número de telefones;
4º) Datas de nascimento;
5º) Datas de casamento;
6º) Placas de Veículos;
7º) Nomes de filhos ou esposa;
8º) Cidades de nascimento;
9º) O próprio nome;
10º) Nomes de animais de estimação.

Tenha sempre em mente que senhas que contenham números seqüenciais, nomes comuns, telefones ou que sejam curtas, são fáceis de achar. O recomendável é ter uma senha de pelo menos 10 dígitos que contenham Letras, números e caracteres especiais, pois senhas com essa características são difíceis de serem descobertas.
Grande parte dos programas que “scaneiam” senhas usam números seqüenciais, nomes existentes em dicionários e senhas que já foram reveladas o que torna seu trabalha muito mais simples.

Primeiro processo eletrônico do TJSP é julgado em menos de uma hora

Computer law
O ministro do Superior Tribunal de Justiça (STJ) Napoleão Maia Filho, da Quinta Turma, foi o primeiro magistrado a decidir um processo remetido eletronicamente pelo Tribunal de Justiça de São Paulo (TJSP). Da chegada do recurso, nesta sexta-feira (13), até a decisão despachada virtualmente, transcorreu menos de uma hora.
A decisão do ministro Napoleão deu provimento a um agravo de instrumento, o que autoriza a remessa do recurso especial ao STJ para futura análise. O recurso discute crimes de trânsito.
O agravo julgado faz parte da primeira remessa de processos digitalizados oriundos do TJSP, e marca a adesão do tribunal paulista ao programa Justiça na era Virtual. A cerimônia de remessa contou com as presenças do presidente do STJ, ministro Cesar Asfor Rocha, e do presidente do TJSP, desembargador Antonio Carlos Viana Santos.
Com a nova adesão, 31 dos 32 tribunais de segundo grau do país estão integrados ao e-STJ. Apenas o Tribunal de Justiça de Minas Gerais ainda não aderiu à remessa eletrônica.

 

Fonte: Coordenadoria de Editoria e Imprensa do STJ

Usuários do “iOS” – Apple devem atualizá-lo já! Ataques maliciosos ocorrerão em breve!

Jailbreak para iPhone

A Apple lançou ontem atualizações do “IOS” para o iPhone, IPAD, e iPod Touch, com o objetivo de corrigir falhas que foram exploradas pelo “JailbreakMe hack”. O autor do “JailbreakMe hack” respondeu tornando o “JailbreakMe” público com a publicação de seu código-fonte, o que forneceu para desenvolvedores mal-intencionados as ferramentas que precisavam para atacar o iPhone ou o IPAD. A corrida agora é para aplicar as atualizações da Apple para o “IOS” antes de começarem a circular “exploits”.
As atualizações da Apple para o “IOS 4.0.2”, destinado ao iPhone e iPod Touch, e “IOS 3.2.2”, destinado ao IPAD, foram desenvolvidos às pressas pela Apple em resposta à percepção de que as falhas exploradas pela ferramenta “JailbreakMe” poderia levar usuários de seu “IOS” a visitar um site com conteúdo malicioso ou ser alterado para fins mais maliciosos ainda. Se o “JailbreakMe” pude ignorar os controles de segurança e modificar o núcleo do sistema operacional, então isso poderá acarretar outros ataques.
Após o lançamento das atualizações do “IOS” por parte da Apple, “Comex”, o autor da ferramenta “JailbreakMe”, tornou o código fonte , sendo que o motivo para esse movimento parece claro, pois o resultado desta ação é que até mesmo os usuários que usaram em seu smartphone ou tablet a ferramenta “JailbreakMe” agora tem um motivo urgente para aplicar as atualizações da Apple, muito embora o mais provável e que estes optem por desfazer o “jailbreak” e voltar a ter um dispositivo gerenciado por aplicações da Apple.
Com o código-fonte original, ataques mal-intencionados se tornam iminente na medida em que outros desenvolvedores podem aperfeiçoar suas técnicasa partir das informações que receberam, utilizando para este fim a ferramenta “JailbreakMe”.
Com a ferramenta” JailbreakMe”, os atacantes poderiam assumir o controle total do iPhone ou IPad simplesmente, atraindo usuáriospara visitarem um site malicioso ou clicar em um link malicioso a partir de um dispositivo vulnerável.
Mikko Hypponen, chefe de pesquisa de segurança de computadores da empresa “F-Secure”, descreveu a vulnerabilidade como algo impressionante e perigoso. Ele inclusive teria escrito um “post” pedindo aos usuários de iPhone, IPAD e iPod Touch que aplicassem as atualizações da Apple. “Embora nós ainda não tenhamos visto ataques maliciosos através da vulnerabilidade “JailbreakMe”, recomendamos instalar o patch imediatamente.”
Hypponen disse ainda que isto significa que os usuários que aplicaram o “jailbreak” em seus aparelhos e preferem mantê-lo dessa maneira terão de enfrentar o aumento da probabilidade de ataques maliciosos através desta vulnerabilidade, muito embora recomende que todos os usuários do “IOS”, incluindo os que fizeram “jailbreak” em seus dispositivos, façam a instalação da atualização mais recente agora.
Infelizmente para os usuários da primeira geração de iPhones e iPod Touches, as atualizações da Apple “IOS” não se aplicam a esses dispositivos. Em uma reviravolta irônica, embora, um patch tenha sido desenvolvido, o mesmo só está disponível através de “Cydia”, para iPhone de primeira geração e usuários do iPod Touch teriam que primeiro aplicar o “jailbreak” do aparelho para depois fazer o download e aplicar a atualização.

Fonte: Networkworld