Monthly Archives: fevereiro 2012

Mais usuários do Facebook estão escondendo seus amigos para se protegerem.

Facebook Privacy

Usuários do Facebook não somente estão adotando medidas muito mais dramáticas para se protegerem e não revelarem quem são, como também para protegerem a informação de quem são seus amigos.
O número de usuários do Facebook que torna pública a sua lista de amigos na atualidade é significativamente menor do que em comparação há alguns anos atrás.
Esta tendência é impulsionada pela crescente atenção que o Facebook recebeu desde 2010 com relação as suas políticas de privacidade, além de uma maior conscientização por parte de seus usuários para o fato de que terceiros podem aprender muito sobre alguém através das pessoas a quem ele ou ela estiver ligado por intermédio de uma rede social, tudo conforme apuraram pesquisadores do Instituto Politécnico da Universidade de New York.
Embora o estudo tenha se concentrado unicamente no Facebook, especificamente nos usuários do Facebook de New York, os resultados apontam para a probabilidade de uma tendência crescente entre usuários cada vez mais preocupados sobre como as empresas recolhem e usam seus dados pessoais.
O Google, por exemplo, tem recebido muita atenção ultimamente por suas mudanças nas políticas de privacidade, assim como pela recente revelação de que está forçando o uso de “cookies” nos usuários do Safari.
Para o estudo, uma equipe de investigação analisou páginas de perfis públicos de 1,4 milhões de usuários do Facebook na cidade de Nova York em março de 2010 e junho de 2011, procurando determinar as alterações mais visíveis que os usuários teriam realizado em suas páginas públicas.
A mudança mais significativa apontou que em março de 2010, apenas 82,7 por cento dos usuários tinham suas listas de amigos visíveis ao público, sendo que em junho, o número diminuiu para 47,4 por cento.
O mais impressionante é que os usuários tomaram esta decisão de esconder a sua lista de amigos de forma consciente durante esse período de tempo.
Durante os rastreamentos realizados entre Março de 2010 e junho de 2011, as listas de amigos dos usuários eram, por padrão, públicas para todos os usuários do Facebook.
Os investigadores atribuem esta mudança a uma consciência crescente dos riscos associados com a partilha de informações pessoais “on-line”, bem como por questões de privacidade específicas do Facebook.
Essa consciência crescente resultou, pelo menos em parte, numa maior cobertura por parte da mídia das práticas de privacidade que o Facebook já tinha recebido.
Os pesquisadores descobriram que o número de reportagens, que incluiu os termos “Facebook” e “privacidade” aumentaram 4,5 vezes entre janeiro de 2009 e setembro de 2011.
Os resultados não levam em consideração a atenção recebida pelo Facebook em maio de 2010 com relação a sua decisão de fazer com que os perfis dos usuários fossem públicos por padrão.
O Facebook posteriormente redesenhou sua interface de configurações de privacidade para torná-la mais fácil para que os usuários alterassem suas configurações padrão, podendo inclusive ocultar suas listas de amigos.
O que não é totalmente claro é se os usuários realmente se conscientizaram de quanta informação terceiros poderiam obter para aprender ou inferir com eles, através do uso de suas conexões no Facebook e em outras redes sociais.
Estudos recentes descobriram que a manipulação de informação sobre um usuário poderia incluir o sexo, idade, orientação sexual, religião, orientação política e assim por diante.
Mesmo que um usuário esconda sua lista de amigos, ele ou ela ainda dependerá que seu ou seus amigos façam o mesmo.
Através de rastreamento inteligente, um terceiro pode determinar quem são os prováveis amigos com quem uma pessoa se relacione numa rede social.
Quanto mais os usuários optarem por esconder suas listas de amigos em suas páginas de perfil público, mais eles se tornam cada vez mais difíceis de serem rastreados, tanto para o bem como para o mal, impedindo assim que terceiros possam usar o Facebook visando construir um gráfico social, a fim de inferir informações ocultas sobre usuários, conforme concluiu o estudo em questão.
A conclusão é que os dias de fluxo livre de valiosos dados de usuários, espalhado aos quatro ventos por sites e serviços como Facebook, Google+, Twitter e Foursquare podem secar lentamente, na medida em que seus usuários vigiam cada vez mais a sua privacidade e a de seus pares.
Isso certamente não vai impedir que organizações e indivíduos, bem-intencionados ou não, procurem maneiras de aprender o máximo que puderem sobre futuros clientes ou vítimas.

Fonte: Ted Samson para o “InfoWorld”.

Cybercriminosos já estão se preparando e realizando ataques “DDoS” contra redes IPv6.

Os cybercriminosos começaram a lançar ataques de negação de serviço distribuídos (DDoS) contra as redes que transmitem dados sobre IPv6 (Internet Protocol versão 6), de acordo com um relatório publicado recentemente pela empresa “Arbor Networks”, que realiza a mitigação de ataques
Muito embora o ano de 2011 tenha sido o primeiro ano no qual os ataques DDoS IPv6 teriam sido registrados, tais incidentes continuam sendo raros, uma vez que eles não são economicamente relevantes para os criminosos da Internet, conforme afirmou Bill Cerveny, um engenheiro de software sênior que atua na “Arbor Network”.
Algumas empresas estão projetando aumentos de mais de 100 por cento para seus volumes de tráfego IPv6 ao longo dos próximos 12 meses, mas as mudanças serão insignificantes em comparação com o volume de tráfego no geral.
A grande maioria das organizações continua relutante em mudar para a nova versão do protocolo IP, pois a segurança da rede e os equipamentos de análise de tráfego não são totalmente compatíveis com ele.
Sessenta e cinco por cento dos entrevistados pela “Arbor Network” em sua pesquisa, disseram que sua principal preocupação é a falta de paridade de recursos entre IPv4 e IPv6, enquanto sessenta por cento expressaram preocupações de que eles não poderão analisar adequadamente o tráfego IPv6.
Ainda segundo Bill Cerveny, muitas das soluções de infraestrutura na atualidade, não oferecem os mesmos recursos e funcionalidades para o IPv6 como elas fazem para IPv4, sendo que essa falta de paridade de recursos significará que as equipes de segurança não terão a mesma visibilidade e capacidade de mitigação quando se tenta identificar e bloquear IPv6 baseados em ataques contra alvos.
Segundo Neal Quinn, vice-presidente de operações de mitigação de ataques DDoS da empresa “Prolexic”, os ataques IPv6 devem ser vistos como uma ameaça emergente, acreditando o mesmo que os atuais ataques DDoS IPv6 são na sua maioria testes realizados por prováveis criadores de malware que querem estar preparados quando os grandes provedores de serviços de Internet começarem a mudar seus assinantes para o IPv6.
A empresa “Prolexic” está investigando quais questões poderiam surgir em roteadores que suportam “dual stack” (IPv6 e IPv4), porque estas serão cada vez mais importante para as empresas criarem pontes entre redes IPv6 e IPv4.
Bill Cerveny alertou que a questão de se ter equipamentos de infraestrutura com as mesmas capacidades para se defender contra ataques IPv4 e IPv6 é fundamental, sendo que o relatório de segurança da “Arbor Networks” demonstra ser fundamental que os operadores de rede possam resolver as discrepâncias mencionadas.

Preocupações de Segurança IPv6


Fonte: Lucian Constantin do Computerworld

Criptografia de telefones via satélite é quebrada e pode comprometer seu uso seguro.

Inmarsat I4 Satellite

Inmarsat I4 Satellite

Pesquisadores de uma universidade em Bochum, na Alemanha afirmam ter quebrado algoritmos de criptografia do “European Telecommunications Standards Institute” (ETSI), que são usadas para proteger certas comunicações de telefones por satélite civis.
A “Ruhr University Bochum’s” (RUB) do “Horst Görtz Institute for IT-security”, informou em comunicado detalhas de como seus pesquisadores teriam conseguido quebrar algoritmos de criptografia conhecidos como 1-A5-GMR e A5-GMR-2, usados para proteger as comunicações civis entre telefones móveis e satélites com base nos padrões GMR-1 e GMR-2 de telefonia por satélite.
Os pesquisadores explicaram que, em algumas regiões do mundo padrões de comunicação de telefone celular ainda não estão disponíveis, portanto, em zonas de guerra, em países em desenvolvimento e em alto mar, telefones via satélite são amplamente utilizados.
O grupo de cientistas da “RUB” disse que simplesmente usou o próprio equipamento telefônico disponível e encontrou a chave de criptografia, conseguindo quebrá-la facilmente através da análise do software em execução nos “satphones”, neste caso, o “Thuraya SO-2510” e o “Inmarsat PRO IsatPhone”.
Os pesquisadores afirmaram ter efetuado uma análise matemática e descoberto deficiências graves que teriam documentado, sendo que dentre os envolvidos nas pesquisas estão Benedikt Driessen, Ralf Hund, Carsten Willems, Christof Paar e Thorsten Holz.
De acordo com anúncio da universidade sobre suas pesquisas, eles usaram software “open-source”, uma antena especial e um PC como parte da investigação para capturar e demodular dados de fala, e, em seguida, processar os dados capturados através de uma implementação de um ataque que tinham concebido para quebrar a criptografia.
Os pesquisadores destacaram porem que em termos de ataques no mundo real, há limites para seus experimentos, muito embora afirmem poder descriptografar comunicações protegido de acordo com o padrão GMR-1, muito embora ainda houvesse algumas barreiras que impediam a divulgação completa de uma conversa de voz.
Baseado em uma experiência com a rede “Thuraya”, que faz uso da GMR-1, os pesquisadores dizem que não foram capazes de reproduzir a conversa de voz em seu próprio “downlink” porque o codec de voz para GMR-1 é desconhecido, o que implicava em não ser possível reproduzir a conversa.
Os pesquisadores disseram ter informado as autoridades com antecedência sobre a divulgação de suas pesquisas
Os pesquisadores ainda destacaram que seus resultados comprovam que o uso de telefones por satélite em determinadas localidades corre perigo porque os algoritmos de criptografia atuais não são suficientes, apontando não haver alternativa para os padrões atuais.


Fonte: Ellen Messmer, editora sênior da Network World.

A modernização das investigações criminais pela Polícia e o respeito às normas constitucionais.

Police new technologiesJá faz alguns anos que uma enorme quantidade de novas tecnologias estão sendo introduzidas para uso por parte das forças policiais no mundo inteiro.
Esses novos avanços tecnológicos estão levando técnicas de investigação criminal a níveis jamais sonhados pela sociedade, que vê a segurança pública como um tormento nas grandes cidades.
Elas podem variar de simples upgrades instrumentais para melhorias sensoriais que permitem a elucidação de crimes extremamente complexos.
Mas se por um lado os avanços obtidos com o uso destes instrumentos nas investigações permite que mais e mais crimes sejam rapidamente solucionados, algumas dessas novas ferramentas de investigação criminal estão levantando inúmeras preocupações para os cidadãos comuns, principalmente em se tratando de sua privacidade.
Mas independente as mais variadas opiniões a respeito de temas como este, fato é que, as benesses que estas novas ferramentas proporcionam superam em muito eventuais insatisfações que possam ocorrer.
Mas se torna imprescindível que o uso da mais moderna tecnologia por parte dos órgãos de segurança pública e com significativa modernização das investigações criminais seja devidamente adequado aos dispositivos constitucionais que asseguram o direito da população a sua privacidade.
Mas de que forma a privacidade das pessoas pode ser afetada pelo uso de novas tecnologias por parte das forças policiais?
Vamos tomar como exemplo a utilização de Dardos Rastreados por G.P.S. por policias de países desenvolvidos e em desenvolvimento.
Estes Dardos Rastreados por G.P.S. são dispositivos que permitem a um policial disparar um pequeno dardo pegajoso o qual contem em seu interior um micro rastreador G.P.S., cujo monitoramento pode ser realizado a partir do interior de um veículo, o qual pode acompanhar a uma distância segura um veículo suspeito.
Isso permite que o veículo suspeito possa ser acompanhado tanto pelos policiais envolvidos como também remotamente por sua unidade policial, a qual poderá inclusive interagir com seus funcionários no acompanhamento do veículo à distância, tudo isto sem que ninguém perceba a vigilância por parte da Polícia.
Em investigações relacionadas ao furto de veículo, as quais normalmente necessitam do acompanhamento dos furtadores no transporte de automóveis que deverão ser desmanchados, este tipo de equipamento permite uma rápida intervenção, além de impedir o espúrio relacionamento entre as empresas privadas de rastreamento de veículos e as forças policiais.
Importante destacarmos que o rastreamento de pessoas e veículo sem uma justa causa e autorização judicial será fatalmente questionado pela defesa, por constituir-se em infração aos ditames constitucionais.
A utilização deste tipo de equipamento, por parte de órgãos policiais, constituir-se-ia em afronta direta ao direito fundamental à privacidade, constituindo-se assim em ofensa à dignidade da pessoa humana.
O principio da dignidade da pessoa impõe limites ao poder estatal, visando impedir que o poder público venha a violar a dignidade pessoal, mas igualmente implica em que este mesmo Estado venha a promover a proteção e promoção de uma vida com dignidade para todos, sendo certo que o direito à privacidade desdobra-se no direito à intimidade, à vida privada, à honra e à imagem.
Portanto, existe vedação expressa para a utilização de dados ou imagens pessoais para fins sociais não expressamente previstos pelo ordenamento jurídico e sem a competente autorização judicial, quando necessária.
Outra questão que merece uma análise bem mais apurada e a coleta de Indícios e provas em “Websites” por parte de órgãos policiais.
O monitoramento de dados online na internet para fins de prova criminal não é algo exatamente “novo”, sendo certo que abundam notícias da coleta de informações em perfis de usuários ou em comunidades nas redes sociais para contradizer depoimentos de testemunhas ou informações prestadas por vítimas e investigados.
No entanto, o escopo dos sites que a polícia, advogados e juízes podem percorrer para obter informações tem se expandido rapidamente, e inúmeros outros estão sendo acrescidos diariamente a lista daqueles já existentes.
Este tipo de ação por parte de órgãos policiais levanta mais uma vez a questão da privacidade na medida em que será necessária a criação de regras mais claras com relação a este tipo de coleta de provas e indícios.
Mesmo questões importantes como à coleta de provas relacionadas a venda de bens roubados e a comercialização de produtos objeto de descaminho ainda não foram devidamente disciplinadas, havendo uma série de lacunas no que tange as forças policiais cuja atuação é cotidianamente questionada.
Fato é que, este tipo de procedimento por parte dos órgãos policiais pode realmente ajudar na melhoria da segurança e no aumento da eficiência dos órgãos de segurança pública, mas ele realmente precisa ser usado com cuidado.
É indiscutível que a polícia precisa levar em conta as regras que norteiam a busca e apreensão, quando for necessário, sob pena de virem a ser absolutamente desconsideradas todas as provas e evidências que forem coletadas no curso de uma investigação.
Mas podemos ir muito mais longe: a Polícia precisa respeitar todas as regras constitucionalmente estabelecidas com relação a razoáveis expectativas das pessoas com relação a sua privacidade.
Explico: existem limites constitucionais com relação ao uso de alta tecnologia por parte da polícia, o que pode ser exemplificado como nos casos de limitações relacionados ao uso de escutas telefônicas e de imagem térmica infravermelha.
Um dos princípios orientadores legais nestes casos é que as buscas policiais sem mandado através de meios de alta tecnologia são inconstitucionais caso esta tecnologia não esteja disponível para uso público em geral.
Podemos argumentar que se o público tem acesso a dispositivos de alta tecnologia, então, realmente, não existe uma expectativa razoável de privacidade a partir destes dispositivos, pois qualquer um seria capaz de usá-los, não apenas a polícia.
Milita em favor deste nosso posicionamento o fato de que inúmeras provas e indícios existentes nas redes sociais são ilimitamente aceitas pelos Tribunais brasileiros uma vez que este tipo de prova pode ser utilizado pelo público em geral.
Mas há que ser lembrado que a Polícia precisa de uma autorização judicial para o uso de dispositivos que são menos acessíveis ao público, tais como os dardos com rastreamento por G.P.S..
Obviamente que esta situação traz como principal dificuldade a definição do tipo de tecnologia que pode ser amplamente utilizada pelo público em geral e do tipo de tecnologia que estaria apenas acessível às forças de segurança pública.
Sempre ficará pendente a questão de saber se as mais recentes tecnologias utilizadas pelas forças policiais em alguns casos são de uso público em geral ou não.
E este tipo de questionamento pode ser mais tormentoso ainda do que se imagina.
Forças policiais de países desenvolvidos tem se valido intensamente da utilização de veículos de vigilância dotados de equipamentos de Raio-X para a identificação de ameaças a segurança interna e para o monitoramento de locais e pessoas.
Uma das empresas que fabrica veículos equipados com equipamentos de Raio-X declarou ter vendido mais de 500 unidades somente no ano de 2011.
E esta empresa não revela quem seriam seus clientes, ou seja, para quem foram vendidos estes veículos.
Ao mesmo tempo em que este tipo de procedimento pode representar perigo uma vez que grupos criminosos ou terroristas podem estar colocando suas mãos em dispositivos de alta tecnologia, ficamos impedidos de saber se aquela empresa vendeu seus veículos para a polícia ou para pessoas do público em geral, permitindo assim que se possa traçar alguns limites quanto a utilização de novas tecnologias.
Uma coisa é certa, as novas tecnologias disponíveis para forças policiais precisam ser reguladas com relativa urgência antes mesmo de se popularizarem em nosso país, evitando assim que os dispositivos que as empreguem possam cair nas mãos das pessoas erradas.
Isto para não deixarmos de lado o fato de que a falta de diretrizes mais claras sobre a tecnologia por parte da polícia deixa o público no escuro no que diz respeito a seu direito de privacidade.

Hackers estão conseguindo “enganar” dispositivos de segurança bancária on-line como “tokens”.

Fraude TokenUma investigação feita pela BBC detalhou possíveis deficiências na segurança extra proporcionada por dispositivos bancários de autenticação (tokens), tais como “PINSentry” do Barclays e “SecureKey” do HSBC, ambas com atuação no Reino Unido.
Usar esses dispositivos de autenticação de dois fatores significa que, caso os consumidores entreguem aos hackers suas senhas de login do banco, ainda assim os criminosos não conseguirão invadir suas contas bancárias online.
Mas, apesar de ataques simples de phishing falharem, pode ainda ser possível aos hackers monitorarem e alterarem a comunicação do usuário com o site do banco utilizando malware.
Hackers poderiam criar um site bancário falso e quando os usuários estiverem no “prompt” tentando fazer “logon” em sua conta, eles conseguiriam obter suas credenciais de “login” online e, por exemplo, seu código “PINSentry”, um número pseudoaleatório que muda mais ou menos a cada.
Esta informação permitiria a cibercriminosos realizar “login” no site bancário real, se fazendo passar pelo cliente, podendo autorizar transferências fraudulentas ou outros pagamentos.
Esta variante do clássico ataque “man in the middle” é conhecida nos círculos de segurança como um ataque “man in the browser”.
“Man in the browser” é um ataque de segurança, onde o autor instala um Cavalo de Tróia no computador de uma vítima passando a ser capaz de modificar transações realizadas na “Web” na medida em que são realizadas.
O ataque “man in the browser” é muito mais difícil de ser prevenido e de ser neutralizado, porque em vez de ocorrer numa troca pública de informações, a troca de dados é realizada entre o usuário e os mecanismos de segurança no navegador daquele.
Incidentes isolados deste tipo de fraude surgiram nos últimos anos, o que faz com que este tipo de ataque não seja novo.
Os “phishers” têm aplicado golpes em dispositivos de autenticação de dois fatores, desde 2006, se não muito antes, muito embora clientes de bancos como Citibank e instituições financeiras nórdicas têm sofrido inúmeros ataques ao longo dos anos.
Fato é que este tipo de golpe é perfeitamente assimilado por profissionais de segurança, mas o problema maior está relacionado a ausência de conhecimento deste tipo de fraude por consumidores, justamente o que incentivou a realização da investigação por parte da BBC.
A investigação realizada pela emissora britânica, não destacou novos casos de fraude e nem individualizou vítimas, deixando absolutamente claro que este tipo de golpe não está relacionado a nenhuma tecnologia fornecida por qualquer banco em particular.
Este cenário ilustra muito bem a importância de ser mantida a segurança do computador em dia, bem como utilizar qualquer tipo de segurança adicional que as instituições financeiras possam oferecer.
No que tange a ressarcimento de prejuízos, é importante notar que as disputas sobre saques indevidos estão longe de serem pacíficas e unânimes.
Consumidores provavelmente serão reembolsados por transferências fraudulentas autorizadas usando dispositivos de autenticação de dois fatores, muito embora seja uma tarefa extremamente árdua convencer a instituição financeira sobre a ausência de responsabilidade por parte do cliente.
Muito embora o uso de dispositivos de autenticação bancária não seja uma maneira infalível de se manter em segurança enquanto se está online no internet banking, eles ainda sim devem ser utilizados, uma vez que o malware comum, frequentemente encontrado nos computadores domésticos, não está equipado para lidar com a autenticação adicional necessária para a utilização desses dispositivos.
Também é fato que atacantes avançados têm encontrado maneiras de contornar as medidas de segurança adicionais, infectando o navegador do usuário e monitorando e alterando a comunicação do usuário com o site bancário.
No entanto, o malware precisa trabalhar de forma muito mais difícil, porque o usuário precisa para ser levado a revelar códigos adicionais de “token”, levando-o a agir rapidamente, antes que expirem, geralmente após 60 segundos.
É importante destacar-se que manter o navegador atualizado pode repelir inicialmente infecções, pois os atacantes costumam usar vulnerabilidades conhecidas do browser como método de entrada para o computador, segundo alertaram especialistas.
Os bancos que implantaram a autenticação de dois fatores alegam que foram beneficiados por uma queda substancial nos níveis de fraude, muito embora não estejam disponíveis números concretos sobre este tipo de alegação.
Especialistas em segurança afirmam que os bancos devem contar com várias medidas de segurança para reduzir a possibilidade de fraude, utilizando uma combinação de técnicas, as quais uma complemente a outra.
Qualquer abordagem para combater ataques contra internet banking deve incluir a atualização e implantação de rigorosos projetos de controle de processos antifraude, monitoramento de qualquer transação de clientes e acompanhamento de padrões de navegação que possam indicar um ataque.