3º Worshop TISaúde – Segurança Digital

No dia 30 de maio, a partir das 8h da manhã, a Emescam sediará o 3º Workshop TIsaúde, com tema central “Segurança Digital”.

Segue abaixo o banner do evento e faça a sua inscrição, é GRATUITO!

Fazer Inscrição

Roney_medice_emescam_ITSAUDE

Anúncios

Seminário sobre Crimes Eletrônicos e a Segurança da Informação

Foi realizado um seminário na EEEM Almirante Barroso, localizado na cidade de Vitória-ES, com diversos assuntos e dentre eles, tive a honra de falar para os estudantes presentes sobre Os Crimes Eletrônicos e a Segurança da Informação.

Os assuntos abordados foram passados aos alunos de uma forma mais didática possível e menos técnica para que mesmo aqueles que não tinham uma vivência forte com a tecnologia, pudessem entender o recado a ser transmitido.

O vídeo da palestra você pode conferir abaixo:

Projeto “Debate nas Escolas Públicas sobre Tecnologia da Informação”. Debate: Os Crimes Eletrônicos e a Segurança da Informação. Local: EEEM Almirante Barroso – Vitória – ES

Ladrões usam pen drives para assaltar caixas eletrônicos

Eu li uma matéria na BBC Brasil que me chamou muito a atenção e precisamos ficar atentos para que esse tipo de ataque não seja “importado” pelos criminosos Brasileiros.

Os detalhes dos ataques, realizados contra caixas de um banco europeu cujo nome não foi divulgado, foram apresentados no congresso Chaos Computing, em Hamburgo, na Alemanha, que debateu crimes cibernéticos.

Os dois pesquisadores que detalharam os ataques pediram que seus nomes tampouco fossem divulgados.

Segundo eles, esse tipo de ataque começou a ser aplicado em julho, depois de o banco notar que vários de seus caixas eletrônicos estavam sendo esvaziados apesar do uso de cofres para proteger o dinheiro dentro das máquinas.

Depois de um aumento na vigilância, o banco descobriu que os criminosos estavam vandalizando as máquinas para usar os pen drives infectados com o malware (software destinado a se infiltrar em um computador).

Uma vez que o malware fosse transferido para a máquina, eles fechavam o buraco aberto para a entrada do pen drive. Desta forma, um mesmo caixa eletrônico poderia ser atacado várias vezes.

Códigos

Para ativar o código na hora em que quisessem, os criminosos digitavam uma série de 12 dígitos que lançava uma interface especial.

Análises do software instalado em quatro caixas eletrônicos atacados demonstraram que as máquinas infectadas mostravam não apenas a quantidade de dinheiro disponível em seu cofre, mas também quais as notas disponíveis e um menu com as opções de escolha das notas.

Segundo os pesquisadores, isso permitia que os criminosos pedissem a liberação das notas de valor mais alto para minimizar o tempo em que eles ficavam no caixa eletrônico, se arriscando a serem flagrados.

Os pesquisadores que revelaram esse novo tipo de crime cibernético também notaram outro aspecto: os criminosos que usam esse tipo de malware pareciam temer que membros da própria gangue agissem por conta própria.

Por isso, para a liberação do dinheiro no caixa eletrônico, o criminoso precisa digitar um segundo código, que varia a cada vez que o software é usado.

O criminoso só pode obter esse segundo código ligando para outro membro do grupo e descrevendo a ele os números que são mostrados na tela do caixa eletrônico no momento do crime.

Sem isso, o caixa eletrônico volta ao normal depois de três minutos, como se não tivesse sido atacado.

Os pesquisadores afirmaram que o código do malware usado nos caixas eletrônicos é muito difícil de analisar.

Fonte: BBC Brasil

Segurança da Informação: Eu odeio a Segurança!!

O papel do especialista em segurança da informação é fazer, entre outras tarefas, com que as informações sigilosas e confidenciais sejam acessadas somente pelas pessoas autorizadas dentro de uma empresa. Para tanto, atingir esse objetivo pode demandar algumas atitudes que algumas pessoas não concordam ou acreditam que é muita preocupação para pouca coisa.

As informações possuem, dependendo do ramo de atividade da empresa dentro da economia, um valor considerável cujo o custo de se manter uma certa proteção tem o seu retorno garantido. O empresário não pode correr o risco no seu negócio, acreditando que todas as pessoas que tem algum tipo de contato com informações privilegiadas não sofrerão assédios financeiros para vender algum tipo de documento restrito da empresa.

A cada dia que passa, quadrilhas especializadas em furtar informações empresariais estão recrutando pessoas para obterem informações de concorrentes e assim, antecipar as decisões de investimento e lançamento de novos produtos no mercado.

Todavia, para evitar um acesso não autorizado, as empresas estão criando diversos controles que inibem ou pelo menos tentam amenizar as consequências de um vazamento de informação não autorizado, criando regras e controles de acesso à determinadas áreas dentro da empresa.

Entretanto, sabemos que a maioria das pessoas possuem um ódio às regras de restrição impostas dentro da empresa para realizar o controle de segurança da informação que, em muitos casos, interferem na nossa liberdade de ir e vir, ler, escrever e falar. Só de imaginar que os e-mails da empresa podem ser monitorados, deixam o funcionário sempre em alerta sobre o que anda lendo e escrevendo nas mensagens eletrônicas, geram um pouco de stress no trabalho.

Levando essa questão um pouco para o nosso dia a dia, realmente ninguém gosta de ficar carregando um molho de chaves da casa, do carro, do escritório, etc. Muito menos ter que ficar lembrando de centenas de senhas que precisamos decorar: senha do cartão do banco, cartão de crédito, e-mail, compras on-line e tantas outras.

Essa irritação já é percebida quando vamos, por exemplo, entrar em um prédio público e precisamos passar pelo procedimento de cadastro de visitantes. É um tempo enorme ali dispensado para informar o nome completo, RG, CPF, endereço, o andar que vai visitar, falar com quem e, para piorar a situação, tirar aquela bendita foto justamente no dia que você não fez a barba ou não cortou o cabelo. Nem vou citar as condições femininas que dependendo do caso, desistem de entrar no prédio e retornam em outro dia com uns ajustes na maquiagem.

Reclamamos constantemente do processo de verificação de segurança nas portas giratórias dos bancos, isso quando não somos “travados” pela porta e temos que demonstrar que não somos criminosos e nem portamos armas de fogo. E para que isso? É a tal Segurança da Informação.

Em todo o momento nos é pedido uma confirmação se nós somos nós mesmos. Incrível! Ao longo do dia, quantas vezes você tem que se identificar e provar que você é você?! Mas tudo tem o seu preço, afinal, é a segurança da informação.

Afinal, se não fosse assim, estaríamos vivendo em uma sociedade em que não teríamos identidade, seríamos mais um na contagem geral da população com acesso a tudo e a todos, ficando sem sentido a própria existência. Exagerado essa afirmação? Não sei, só sei que existe uma tal de Segurança da Informação e pela quantidade de vezes que tenho que me identificar que eu sou eu mesmo, as vezes fico me imaginando se eu também não…. odeio a segurança?!

Até a próxima!

As técnicas de manipulação utilizadas por criminosos virtuais e a vulnerabilidade humana

O ser humano é dotado de sentimentos, razão, fé e esperança que garantem um convívio harmonioso na sociedade em que cada pessoa está inserido. Logicamente que a intensidade e a existência desses pontos varia de cada pessoa e que deve ser levado em conta a trajetória de vida de cada um.

Passamos boa parte de nossa vida aprendendo que devemos dar atenção aos outros, ajudar o próximo, fazer o bem e tudo mais de positivo que nos foi concebido para termos uma relação de paz e tranquilidade com as pessoas ao nosso redor. Pelo menos deveria ser assim em toda a Humanidade mas sabemos que por motivos políticos, históricos e até religiosos, determinadas sociedades vivem em eterno conflito.

E é nesse contexto, que determinadas pessoas dentro da sociedade se aproveitam do momento e praticam ações criminosas para benefício próprio, levando em consideração a boa fé e a ingenuidade dos outros que acabam caindo em golpes virtuais e são vítimas dos inúmeros crimes eletrônicos praticados principalmente na internet nos dias atuais.

Os criminosos virtuais utilizam algumas técnicas de manipulação para conseguir o apoio e a confiança da vítima para que seu objetivo seja alcançado, enganando e ocasionando em muitos dos casos em prejuízo financeiro para aqueles que acabam caindo no “conto do vigário”.

Uma dessas técnicas é manipular o sentimento das pessoas, levando à vítima uma falsa sensação que ela está ajudando uma pessoa necessitada. Por exemplo, quantas vezes não recebemos em nosso e-mail uma mensagem eletrônica informando que uma determinada pessoa está com uma doença rara e precisa urgentemente de um transplante de um órgão doente e para isso, como a família da possível vítima da doença não tem condições financeiras, é solicitado uma ajuda de custo e informa um número de conta bancária para realizar um depósito em qualquer quantia.

Esse tipo de golpe, com suas exceções, é uma forma rápida de se levantar uma grande soma de dinheiro levando em consideração a quantidade de e-mails que são enviados e o elevado número de pessoas que se comovem com a intenção de ajudar e acabam depositando valores acreditando que estão ajudando alguém necessitado.

Não muito diferente dessa técnica, os criminosos tem se utilizado de ações que prometem retorno financeiros rápidos e vultuosos, necessitando somente de um pequeno “investimento” financeiro pela vítima para proporcionar esse lucro tão esperado. Acredito que essa técnica de manipulação de aspirações é tão antiga que podemos observar nos dias de hoje como as pessoas são iludidas com promessas de ganhos futuros altamente rentáveis mas que para isso, precisa pagar uma certa quantia antecipadamente para obter uma lucro que na verdade não é bem o que se promete.

Logicamente, nos dias atuais, os criminosos se aproveitam do certo “anonimato” que a internet proporciona e realizam vários tipos de tentativa de manipulação contra as vítimas para que seja possível obter algum tipo de vantagem. Essa manipulação pode implicar em mexer com os sentimentos das pessoas, trabalhar a curiosidade, tentar estabelecer uma confiança, cativar a simpatia da vítima e no final, se essa manipulação resultar em algum prejuízo para a pessoa enganada, muita das vezes por razões de medo ou culpa, as vítimas acabam abafando o problema e não tomam iniciativas que deveriam ser feitas como denunciar esses criminosos para evitar que novas vítimas sejam enganadas.

Portanto, devemos ficar atentos para essas ações criminosas que tem aumentado consideravelmente no ambiente da internet para e desconfiar de qualquer atitude alheia que desperte uma promessa tentadora. É a máxima: “Confie desconfiando”.

Até a próxima!

Segurança da Informação: As ameaças que preocupam o administrador de redes

O crescimento exponencial da tecnologia da informação tem potencializado os riscos digitais, principalmente no momento em que se tem falado muito de mobilidade, acessibilidade e disponibilidade da informação a qualquer hora e em qualquer lugar.

A demanda por nova tecnologia e novos equipamentos eletrônicos tem feito a indústria uma refém da modernidade, com a obrigação de realizar lançamentos inovadores de dispositivos eletrônicos que agregam uma layout moderno e com recursos computacionais de dar inveja em qualquer concorrente no mercado.

Afinal, estamos vivendo na geração da tecnologia em que para qualquer lugar que se ande, sempre se esbarra na informática para realizar qualquer tipo de ação. Hoje, você já é acordado pela própria modernidade: quantas pessoas não usam o alarme do celular para acordar? É a tecnologia ditando as nossas vidas.

Todavia, junto com essa facilidade de acesso à informação temos as ameaças naturais para uma sociedade tecnologicamente interligada, ocasionando em novas preocupações para os administradores de redes a cada dia que se passa.

Com o surgimento dos dispositivos de armazenamento móveis, como por exemplo o pen drive, aumentou consideravelmente o risco de informações sigilosas serem “furtadas” ou divulgadas, tamanha a facilidade de se guardar um dispositivo desse no bolso ou em uma pasta. O seu manuseio é simples e tem a capacidade de guardar milhares de informações sobre uma empresa.

Através de um pequeno pen drive, as ameaças são as mais diversas possíveis. Basta a criatividade e o objetivo da mente criminosa para se colocar em prática as suas intenções e necessidades.

O administrador de redes se não tiver uma política de segurança estabelecida dentro de uma empresa para permitir ou não o uso de pen drive, algumas ameaças poderão ser colocadas em prática ocasionando em efeitos negativos.

Podemos citar algumas ameaças como: violação da propriedade intelectual, fraudes em documentos, pirataria, sabotagem digital, furto de informação, espionagem, falsificações e tantas outras oriundas de um acesso não autorizado e com objetivos nebulosos.

Entretanto, não é somente pela “porta” do acesso não autorizado que as ameaças se manifestam. Poder ser um e-mail malicioso enviado para um funcionário leigo, um vírus não tratado pelo sistema de segurança da empresa, aparelhos móveis como smartphones e tablet que sem um controle de permissão podem propagar informações confidenciais da empresa e outros meios preocupantes para o profissional de tecnologia.

É necessário entender que por mais que os riscos e as ameaçam sejam de natureza digital, eles são “reais”. As consequências de uma devastação digital terão enormes impactos na vida real. Imagine alguns sistemas fora do ar como: controle de tráfego aéreo, bolsa de valores, sistemas bancários e outros.

Existe a necessidade de se identificar essas ameaças e entender os riscos quando se assume a não tratá-las. Em determinadas situações, existe um custo muito elevado para amenizar certas ameaças e fica mais barato assumir as consequências que podem ocorrer com os problemas oriundos da concretização da ameaça que a própria solução para evitar a ameaça. É o que chamamos de risco assumido.

Contudo, um administrador de redes tem suas mãos uma série de atividades que extrapolam a simples função de ficar gerenciando servidores e impressoras. A cada dia que passa, é necessário uma visão mais de gestão que puramente técnica e é nesse sentido que o mercado seleciona naturalmente aqueles que devem permanecer na profissão e aqueles que precisam escolher outra área de atuação.

E você, já pensou em uma outra área de atuação?!

Até a próxima!

Segurança da Informação: Questões que englobam a Autenticação

A necessidade de se garantir que determinadas informações sigilosas ou confidenciais não sejam de conhecimento de terceiros sem a devida autorização, está levando diversas empresas a investir mais em segurança da informação. Em um mercado competitivo, é preciso um mínimo de cuidado especial com o principal ativo da empresa: a informação.

Atualmente, os bancos estão desenvolvendo cada vez mais uma nova forma de acesso do correntista à sua conta bancária de forma segura evitando ao máximo a ação dos criminosos eletrônicos. Entre algumas medidas adotadas por algumas instituições bancárias está o uso de dispositivos de segurança (Token) para aumentar o nível de segurança aos correntistas e evitar as fraudes bancárias contra os usuários desatentos que acreditam está navegando no site oficial do seu banco quando na verdade não estão.

Entre os pilares da Segurança da Informação está a Autenticação. O grande desafio para a promoção da segurança da informações dentro da autenticação é provar que o usuário/sistema é realmente quem diz ser.

O usuário quando tenta acessar a sua conta de seu banco, é preciso comprovar para o seu banco que realmente ele é o titular da conta corrente acessada. A necessidade de se autenticar no banco é para garantir ao banco que a pessoa que diz ser é a que possa ter acesso as informações bancárias sigilosas e evitar que terceiros tenham acesso a essas informações.

Principalmente quando esse acesso não é efetuado dentro da agência de forma pessoal, e sim pela internet, o cuidado ainda é maior pela imensidão que é a internet e a origem do acesso à conta é mais amplo, podendo o correntista tentar o acesso de qualquer parte do mundo.

Por outro lado, o correntista precisa ter a certeza que o sistema que ele está tentando acessar realmente é o banco de sua conta para evitar passar as informações confidenciais como número da conta e senha de acesso para os criminosos. É comum as pessoas acessarem os sites de banco em Lan House ou em computadores de terceiros, cujo a utilização do computador é compartilhado por várias pessoas.

Na autenticação, que é um ponto crítico de qualquer sistema de segurança, é intrínseco existir a identificação do titular visto que o acesso garantido ao sistema é uma garantia (ou deveria ser) que somente a pessoa que tem o acesso poderia se autenticar, logo, quem autentica se identifica. Mas sabemos que não é uma verdade essa lógica.

Um descuido ou o vazamento das informações necessárias para se autenticar em um sistema coloca em xeque a identificação. Isso ocorre quando utilizamos um único método de checagem das informações para permitir a liberação do acesso das informações confidenciais.

É necessário que o sistema de autenticação possibilite o uso de mais de um método de autenticação para aumentar o nível de segurança e garantir a identificação mais real do titular da conta.

Um método para realizar a autenticação: é enviar algo que você sabe: um login e senha (conta corrente, agência e senha de autoatendimento – no caso de conta bancária). Entretanto, não precisamos lembrar que muitos usuários colocam essas informações atrás do próprio cartão do banco, embaixo do teclado, no monitor, etc.

Além de enviar algo que você sabe, poderia ser usado algo que você tem: um dispositivo de identificação ou SmartCard. São conhecidos como Token, aqueles dispositivos que geram uma sequência numérica diferente a cada botão pressionado e que só tem validade geralmente por 30 segundos. Útil para forçar a segurança em casos em que o login e a senha foram descobertos mas ainda é necessário informar algo que se tem para continuar com a autenticação e nesse caso, somente quem possuir o dispositivo poderia comprovar a sua identidade.

E ainda sim, além de se utilizar as formas acima citadas, em combinação, algumas soluções permitem trabalhar com algo que você é: através da leitura de biometria (impressão digital) ou leitura da retina ou até mesmo a leitura da palma da mão. Essa forma de informação seria a mais difícil de ser burlada e a autenticação teria um alto grau de confiabilidade.

Trabalhando a autenticação com esses três métodos, é quase que certo que a autenticação realizada terá a sua identificação também validada uma vez que dificilmente os criminosos poderão utilizar todos os três métodos para fraudar um acesso autenticado.

Contudo, ainda sim, não se pode garantir a identidade de quem está acessando pela mera informação enviada pela internet do que se sabe e do que se tem. Afinal, quantas pessoas não emprestam o seu cartão de crédito para amigos e junto, emprestam a senha? Assim vale para o cartão do plano de saúde, do cartão do banco (junto com o token), etc.

Até a próxima!