Cuidado com o vírus do Informe de Rendimento

Caso você receba um e-mail de “Informe de Rendimento”, nesta época do Ano que o pessoal está fazendo o IR, muito cuidado para ver se a fonte é confiável.

Eu recebi um com um link e resolvi explorar o link.
curl -v http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL
* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: curl/7.43.0
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:48:12 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.google.com
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Parece que é inócuo, não? Então use um user-agent que simule Windows.

curl -v -A "Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko" http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL
* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: Mozilla/5.0 (compatible, MSIE 11, Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:50:51 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.4shared.com/download/v8Ptjs0gba/rendimento_20160703_eRGIySeSpG.exe?sbsr=4e647ca5a1d90c49bb0122f2b9a68883969&lgfp=3000
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Neste caso ele irá redirecionar você para o download de um executável no 4Shared que contém o payload do vírus ou malware.

Caso você use um Mac ou qualquer outra coisa que não seja Windows ele irá redirecionar você para o Google.

curl -v -A "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A" http://ppj.entregaregistrada.ru/index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL* Trying 193.189.117.127...
* Connected to ppj.entregaregistrada.ru (193.189.117.127) port 80 (#0)
> GET /index.php?id=PPJZJlrs8VdN6ZWpLKqaKpeXM7p5xR5zDgL HTTP/1.1
> Host: ppj.entregaregistrada.ru
> User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/7046A194A
> Accept: */*
>
< HTTP/1.1 302 Found
< Date: Thu, 25 Feb 2016 22:52:45 GMT
< Server: Apache/2.2.22 (Debian)
< X-Powered-By: PHP/5.4.45-0+deb7u1
< location: https://www.google.com
< Vary: Accept-Encoding
< Content-Length: 1
< Content-Type: text/html
<

Não esqueça de estar com seu anti-virus sempre atualizado.

Explicando para leigos o problema com OpenSSL Heartbeat – CVE-2014-0160

Este vídeo abaixo explica em linhas gerais o problema com o OpenSSL que talvez tenha sido o pior bug de segurança da história da Internet.

Se quiser se aprofundar no assunto olhe o site oficial do bug.

Além disso como sempre, quando o assunto é segurança, eu recomendo a leitura do blog do Bruce Schneier. Você pode testar se um site foi afetado aqui: http://filippo.io/Heartbleed/

Sequestro de dados, um novo tipo de vírus

Pague US$ 300,00 ou perca todos seus dados.

Esta semana o Ars  publicou um artigo sobre uma nova forma de vírus em que os dados do computador são criptografados e o dono tem que pagar uma quantia x para descriptografar os dados.

CryptoLocker

O problema não é exatamente novo, mas não deixa de ser assustador. Ainda mais com o crescimento do Bitcoin como moeda de pagamento. No caso do Bitcoin é muito difícil que se possa seguir a máxima do filme Todos os homens do presidente: “Follow the money”, não há modo simples de seguir o dinheiro num sistema de transações completamente distribuído.

O nome do novo vírus é CryptoLocker, que cobra 300 dólares para libertar os arquivos, que ele criptografou, em seu computador . Caso você não tenha backup, não há outra solução senão pagar. Até o presente momento não há forma conhecida de obter a chave de descriptografar os arquivos.

A solução é não pegar o vírus e manter backups atualizados.

Além disso o virus pode se espalhar ou criptografar dados em outros computadores que tenham arquivos compartilhados para leitura e escrita.

Algumas sugestões para você ensinar a seus clientes ou parentes que ligarão apavorados depois de contaminados.

  1. Backup sempre.
  2. Windows atualizado e legalizado. Nunca tenha Windows pirata.
  3. Antivirus atualizado. Mesmo que seja o Microsoft Defender, sempre atualizado.
  4. No caso do Windows 7 e 8, nunca aceite um arquivo que vem por e-mail que peça autorização de administrador para instalar.
  5. Não baixe programas piratas ou crackers. Um mero joguinho pirata para seu filho pode custar muito caro.

Não sei quanto tempo vai demorar para fazerem um destes para Android…

É possível alguém “hackear” a eleição do Papa?

Com a gentil permissão do autor, reproduzimos aqui, traduzido para o português o texto do famoso especialista em segurança Bruce Schneier.  Uma versão anterior deste ensaio foi publicada na CNN e é uma expansão do ensaio que Bruce Schneier escreveu no conclave de 2005. O original deste artigo pode ser encontrado no site do autor. Caso você queira saber mais sobre o conclave indicamos este outro site com um resumo.

Conclave 2013

Enquanto o Colégio de Cardeais se prepara para eleger um novo papa, as pessoas que trabalham com segurança tem me perguntado sobre o mecanismo de eleição. Como funciona, e quão difícil seria hackear a votação?

As regras para as eleições papais estão imersas na tradição. João Paulo II modificou-as em 1996, e Bento XVI deixou as regras praticamente intocadas. A “Universi Dominici Gregis sobre a vacância da Sé Apostólica e a eleição do Romano Pontífice” é surpreendentemente detalhada.

Todos os cardeais com menos de 80 são sujeitos ativos para votar. Esperamos, neste conclave, 117 para votar (Nota do Tradutor: a estimativa no dia de hoje é de 115). A eleição tem lugar na Capela Sistina, dirigida pelo Cardeal Camerlengo da Igreja. A cédula é inteiramente baseada em papel, e toda a contagem dos votos é feita à mão. Os votos são secretos, mas todo o resto do procedimento é aberto aos presentes.

Primeiro, há a fase de pré-escrutínio

“Pelo menos duas ou três” cédulas de papel são dadas a cada cardeal, presumivelmente para que um cardeal tenha uma ou outra sobressalente caso de ele cometa um erro. Em seguida, nove gerentes do processo são selecionados aleatoriamente dentre os cardeais: três “escrutinadores” que contam os votos; três “revisores” que verificar os resultados dos escrutinadores, e três “Infirmarii” que recolhem os votos daqueles que estão doentes demais para estar na capela. Diferentes conjuntos de gerentes são escolhidos aleatoriamente para cada votação.

Cada cardeal, incluindo os nove gerentes do processo daquela eleição, escrevem seu escolhido para Papa em uma cédula retangular “na medida do possível com uma letra de que não possa ser identificada como o sua.” Ele, então, dobra o papel longitudinalmente e o segura no ar para que todos vejam.

Quando todos tiverem escrito o seu voto, a fase de escrutínio da eleição começa. Os cardeais se dirigem ao altar um por um. No altar há um cálice grande, com uma patena – uma rodela de metal rasa usada para guardar hóstias durante a Missa – cobrindo o cálice. Cada cardeal coloca sua ficha dobrada sobre a patena. Então ele pega a patena e desliza seu voto dentro do cálice.

Se um cardeal não pode caminhar até o altar, um dos escrutinadores – à vista de todos – faz isso por ele.

Se algum cardeal está demasiado doente para ir à capela, os escrutinadores dão aos Infirmarii uma caixa lacrada com uma ranhura, e os três Infirmarii juntos vão recolher os votos. Se, ainda assim, um cardeal está doente demais para escrever, ele pede a um dos Infirmarii para fazer isso por ele. Na volta a caixa é aberta, e as cédulas são colocados na patena e no cálice, uma de cada vez.

Quando todas as cédulas estão no cálice, o primeiro escrutinador sacode-o várias vezes para misturá-las. Em seguida, o terceiro escrutinador transfere as cédulas, uma por uma, a partir do primeiro cálice para o outro, contando-as no processo. Se o número total de cédulas não está certo, as cédulas são todas queimadas e os votos começam novamente.

Para contar os votos, cada cédula é aberta, e o voto é visto por cada escrutinador, chegando ao terceiro este lê em voz alta. Cada escrutinador escreve o voto numa folha de registro. Isto tudo é feito à vista de todos os cardeais.

O número total de votos que cada pessoa recebeu é escrito em uma folha de papel separada. Cédulas com mais de um nome (votos múltiplos) serão consideradas nulas, e suponho que o mesmo aconteça com as cédulas com nenhum nome escrito nelas (votos em branco). Cédulas ilegíveis ou ambíguas são muito mais prováveis de acontecer, e suponho que eles serão descartadas também.

Depois, há a fase de “pós-escrutínio” feita a contagem dos votos os escrutinadores determinam se há um vencedor. No entanto nós ainda não terminamos.

Após isto os revisores verificar todo o procedimento: cédulas, folhas de anotação, contagem, soma, tudo. E então, as cédulas são queimadas. É daí que a fumaça vem: branco, se um Papa foi eleito, preto se não – a fumaça preta é criada pela adição de água ou um produto químico especial nas cédulas.

Para ser eleito Papa é necessária uma maioria de dois terços dos votos mais um. Este é o ponto da legislação onde o Papa Bento XVI fez uma mudança. Tradicionalmente, uma maioria de dois terços, sempre foi exigida para a eleição. O Papa João Paulo II mudou as regras para que após cerca de 12 dias de infrutíferas votações, uma maioria simples fosse suficiente para eleger um Papa. Bento XVI reverteu essa regra.

Então agora a pergunta: quão difícil é “hackear” este processo?

Em primeiro lugar o sistema é completamente manual, o que impede qualquer tipo e forma de ataque tecnológico que podem atingir os atuais sistemas de votação mundo afora.

Em segundo lugar, o pequeno número de eleitores – todos se conhecem – isto torna impossível que uma pessoa de fora consiga interferir na votação de qualquer maneira. A capela é esvaziada e trancada antes de cada votação. Ninguém vai se vestir como um cardeal e esgueirar-se na Capela Sistina. Em suma, o processo de verificação dos eleitores é o melhor possível.

Um cardeal não pode colocar múltiplas cédulas quando ele vota. O complicado ritual patena e cálice garante que cada cardeal vote apenas uma vez – seu voto é visível – e também mantém uma mão na haste do cálice que contém os outros votos. Não que eles não tenham pensado sobre isso: Os cardeais estão em “sobrepeliz” durante a votação, a sobrepeliz tem mangas de renda translúcidas sob uma curta capa vermelha, isto faz com que truques manuais sejam muito mais difíceis. Além disso, provavelmente a soma seria errada.

As regras prevêem isto de outra forma: “Se durante a abertura das cédulas os escrutinadores encontrarem duas cédulas dobradas de tal maneira que elas pareçam ter sido feitas por um único eleitor, se esses votos têm o mesmo nome, eles são contados como um voto; se no entanto eles tem dois nomes diferentes, nenhum dos dois votos será computado, no entanto, em nenhum dos dois casos a sessão de votação é anulada “. Isso me surpreendeu, pois parece ser mais provável que isto aconteça apenas por acidente e resulte em que os votos de dois cardeais não sejam contados.

Cédulas de votações anteriores são queimadas, o que torna mais difícil utiliza-las para fraudar a urna. Mas há um detalhe pequeno: “Se, acontece uma segunda votação imediatamente após a primeira, as cédulas da primeira votação serão queimada apenas no final, juntamente com as da segunda votação.” Eu suponho que é assim para que haja apenas uma nuvem de fumaça para as duas votações, mas seria mais seguro queimar cada conjunto de cédulas antes da próxima rodada de votação.

Os escrutinadores são os que estão na melhor posição para modificar votos, mas é muito difícil. A contagem é feita em público, e há várias pessoas verificando cada passo. Seria possível que o primeiro escrutinador, se ele fosse bom em passes de mágica, trocar uma cédula de votação por outra antes de registrá-la. Ou para o terceiro escrutinador trocar as cédulas durante o processo de contagem. Fazer uma cédula grande faria este tipo de ataque mais difícil. Outra opção, seria controlar as cédulas em branco melhor, só distribuir uma para cada cardeal em cada votação. Eu suponho que como um cardeal pode mudar de idéia durante o processo de votação faz sentido a distribuição de mais de uma cédula.

Há tanta checagem e rechecagem que é praticamente impossível que um escrutinador anote errado os votos. E, uma vez que os escrutinadores são sorteados aleatoriamente em cada votação, a probabilidade de haver um conluio é extremamente baixo. Talvez uma forma de ataque fosse burlar o sistema de seleção de escrutinadores, que não está bem definido no documento. Manipular a seleção de escrutinadores e revisores parece um primeiro passo necessário para manipular a eleição.

Se existe alguma fragilidade possível no processo seria na contagem.

Não há nenhuma razão real para fazer uma precontagem, isto dá ao escrutinador que faz a transferência uma chance de trocar cédulas legítimas com outras que ele já havia colocado na manga. Agitar o cálice para randomizar as cédulas é inteligente, mas colocar as cédulas em uma bola de arame giratória seria mais seguro – embora menos reverente.

Eu gostaria também de acrescentar a exigência de usar algum tipo de luva branca para evitar que um escrutinador esconda um lápis ou caneta sob a ponta de suas unhas. No entanto a exigência de escrever por extenso o nome do candidato forneça já algum tipo de resistência contra este ataque.

Provavelmente, o maior risco é a complacência. O que pode parecer bonito na sua tradição e ritual durante a primeira votação, poderia facilmente tornar-se pesado e chato depois da vigésima votação, e há a tentação de pegar um ou outro atalho para economizar tempo. Se os cardeais fizerem isto, o processo eleitoral se torna mais vulnerável.

Na mudança do processo em 1996 se permitiu que os cardeais vão à capela para as votações e voltem para seus dormi voltam da capela para suas salas de dormitório, em vez de ser bloqueado na capela o tempo todo, como foi feito anteriormente. Isso torna o processo um pouco menos seguro, mas muito mais confortável.

É claro que, um dos Infirmarii podia fazer o que quisesse ao transcrever o voto de um dos cardeais doentes. Não há nenhuma maneira de evitar isso. No entanto se o cardeal enfermo estiver mais preocupado com isto, que com a privacidade, ele poderia pedir a todos os três Infirmarii que testemunhassem o que foi escrito na cédula.

Há também enormes empecilhos sociais, religiosos na verdade – para aquele que quiser fraudar o voto. A eleição ocorre em uma capela e em um altar. Os cardeais fazem um juramento ao colocar seus votos – mais um dissuasor. O cálice e patena são os instrumentos utilizados para celebrar a Eucaristia, o mais sagrado ato da Igreja Católica. E os escrutinadores são explicitamente exortados a não formar qualquer tipo de conspiração, ou fazer planos para influenciar a eleição, sob pena de excomunhão.

Outro importante risco de segurança no processo é a espionagem do mundo exterior. A eleição deve ser um processo completamente fechado, sem nenhum tipo de informação para o exterior, exceto o vencedor. No mundo de hoje com alta tecnologia, isto é muito difícil. As regras declaram explicitamente que “a capela deve ser protegida contra dispositivos de gravação e transmissão, com a ajuda de pessoas confiáveis com capacidade técnica comprovada.” Isso foi muito mais fácil em 2005 que vai ser em 2013.

Quais são as lições deste processo?

Primeiro, sistemas abertos conduzidos dentro de um grupo conhecido tornam a fraude eleitoral muito mais difícil. Cada passo do processo eleitoral é observado por todos, e todos se conhecem, isto torna muito difícil que alguém consiga encobrir alguma coisa.

Segundo, as eleições pequenas e restritas são mais fáceis de proteger. Este tipo de processo funciona para eleger um Papa ou um presidente de clube, mas fica rapidamente difícil numa eleição de grande escala. A única maneira de sistemas manuais funcionarem num grupo maior seria através de um mecanismo de pirâmide, com pequenos grupos reportando seus resultados obtidos manualmente para cima até chegar às autoridades centrais de tabulação.

E terceiro: Quando um processo de eleição é deixado para amadurecer ao longo de um par de milhares de anos, você consegue algo surpreendentemente bom.

RSA SecurdID, o buraco pode ser maior que parece

Quando foi amplamente divulgado em março que o produto SecurID da RSA sofreu uma importante falha de segurança, muitos especialistas afirmaram que o problema era muito mais teórico que prático e que os usuários de bancos, que usamos nossos tokens RSA para autenticação poderíamos ficar tranquilos.

Não foi bem assim. E as noticias do ataque eletrônico com possível roubo de material militar na Lockheed Martin mostra a gravidade do problema.

Os tokens servem para aumentar a segurança da criptografia com a autenticação de duas camadas. Neste tipo de autenticação é utilizado algo que somente você (na teoria) conhece, no caso a senha, com algo que você possui (o token). No caso de autenticação biométrica seria a combinação da senha com algo que você tem de pessoal (íris, digitais, formato da mão, etc.)

Como muitos usuários empregam senhas fáceis como manuel123 ou a data de seu aniversário concatenado com de sua mulher, a segunda camada de autenticação exige que o invasor saiba a sua senha e roube seu token.

O token é um relógio, uma senha e uma função matemática F que une a hora H com a senha S para formar uma sequência de números que é exibida no display. Esta sequência é F(H,S). Como a função F é conhecida (aparentemente foi quebrada há alguns anos) e a hora H é conhecida, o cara que está fazendo o ataque teria que conhecer S para violar seu sistema. No entanto S é algo que está inserido de maneira inviolável no dispositivo.

Na outra ponta está o site ou banco que está recebendo a autenticação, este lado ao receber o número de série do reloginho (que fica no verso) tem que ter uma tabela de S associados a cada relógio que distribuiu para conferir F(H,S) e ver se está correto.

Embora não esteja claro o que aconteceu (cf. http://www.rsa.com/node.aspx?id=3872) parece que vazou o banco de dados, ou parte do banco de dados de associação entre o número de série do reloginho e a senha S. Se de fato isto se confirma, e o ataque a Lockheed Martin foi feito usando informações obtidas deste banco de dados, houve um duro golpe na segurança das autenticações e será preciso pensar alguma forma mais segura de gerar os dados do token. Além disso as perdas para a RSA e para os usuários podem ser muito elevadas.

 

iPhone Tracker expõe uma brecha enorme na segurança dos donos de iPhone

Hoje meu amigo Dario me passou um link de um programa que prova que o iPhone guarda sua posição geográfica de tempos em tempos durante toda a vida do aparelho.

O programa se chama iPhone Tracker e só funciona em MacOS X.
http://petewarden.github.com/iPhoneTracker/

A princípio isso parece muito interessante, saber aonde estávamos no dia tal e até poder provar isso. O problema é que, se algum criminoso rouba o seu celular, essa informação fica disponível também para ele. Pior, se alguém rouba o notebook que você usa para sincronizar seu iPhone, essa pessoa tem acesso a esses dados.

Para se ter uma idéia do problema, vejam abaixo duas telas do programa sendo executado aqui no meu Mac.

Esses foram os lugares que eu já fui fora do Brasil com o meu iPhone.
Esses foram os lugares que eu já fui fora do Brasil com o meu iPhone. (Clique para aumentar)
Aonde eu estava no dia 19/01/2011.
Aonde eu estava no dia 19/01/2011 (Clique para aumentar)

Com essas informações, localização, data e hora; dá para saber um monte de coisas. Onde a pessoa mora, onde trabalha, aonde vai com frequência e quando vai, etc.

Outro dado interessante, é que essa informação passa de um iPhone para outro. Se você tinha um iPhone 3G S e depois transferiu os seus dados para um iPhone 4, as informações de localização vão junto com o backup.

Como não é possível desligar esse absurdo, uma sugestão que o sujeito que fez o programa deu, é que mande encriptar o backup do iPhone, para evitar que outros programas possam acessá-lo.

As perguntas que ficam são as seguintes:

1) Por que a Apple guarda esses dados sem nós sabermos?
2) Será que ela envia esses dados para algum outro lugar?

Foursquare – Use a seu favor

O foursquare já não é um serviço novo há muito tempo. Dizem até que existem serviços melhores, mas não vou entrar nesse mérito. O que eu vou dizer aqui serve para qualquer serviço que misture localização geográfica com redes sociais.

Para quem não sabe, o Foursquare é uma mistura de jogo com rede social onde você pode compartilhar com outras pessoas o lugar onde você está no momento. A graça do 4sq (abreviação de Foursquare) é publicar no Twitter, Facebook e cia sua localização, juntamente com seus comentários.

Exemplo de post do Foursquare no Facebook
Exemplo de post do Foursquare no Facebook

A cada check-in no Foursquare você ganha pontos para competir com seus amigos. Se você vai muito a algum lugar, pode se tornar o prefeito (mayor) daquele lugar. Além disso, o serviço dá distintivos (badges) para alguns feitos (Fazer check-in com N pessoas, fazer N check-ins no mesmo dia, etc). Tudo isso conta no jogo.

Outra coisa interessante desse serviço é o fato de alguns estabelecimentos usarem os dados do Foursquare para darem descontos aos seus clientes, como forma de fidelizar os clientes. Apesar de já ter visto isso aqui no Brasil, essa prática ainda não está muito difundida por aqui, mas em outros países é bem utilizada. Na Escócia, por exemplo, vários pubs dão descontos ou bebidas grátis ao mayor do estabelecimento no Foursquare. Outros estabelecimentos dão descontos para os que fizerem check-in N vezes no Foursquare.

Para as empresas, isso é excelente, já que eles sabem exatamente o perfil de cada usuário do seu estabelecimento (o que usam foursquare, é claro), além de poderem descobrir os problemas que quase nunca saberiam, já que o check-in quase sempre vem junto com um comentário.

Até aí, tudo bem, mas agora vem o problema da brincadeira.

Algumas pessoas têm usado o foursquare de forma errada, inadvertidamente ou de má fé, e acabam se prejudicando ou até prejudicando outras pessoas. Me explico. Como isso é um jogo e cada check-in conta, as pessoas acabam apelando para conseguir ficar na frente de seus amigos.Tenho visto várias pessoas fazendo check-in em casa ou fazendo check-in na casa de outras pessoas. Alguns colocam até o número do apartamento para poderem criar lugares diferentes dos já existentes.

Isso acaba expondo o seu endereço ou, o que eu acho muito pior, expondo o endereço de outras pessoas que, às vezes, nem sabem que estão expostas. Um convidado que vai à sua casa, pode colocar seu endereço no Foursquare e você não poderá tirar o local da rede. Outra coisa, tão ruim quanto fazer check-in em casa, é fazer check-in no trabalho. Para piorar, não se pode apagar um lugar no Foursquare, ou, pelo menos eu não achei uma maneira de se fazer isso nem no site deles.

Um site americano quis mostrar o risco de abrir essa informação na Internet e criou o “serviço” Please Rob me (Por favor me assalte), que fazia justamente uma busca por “house”, “home”, “work” e cia no Foursquare e retornava os últimos check-ins na sua home para qualquer um ver. O serviço (http://pleaserobme.com/) já foi tirado do ar, restando só o site, mas, enquanto ainda funcionava, era assustadora a quantidade de pessoas que fazia check-in em casa ou na casa de alguém conhecido.

Deixo abaixo, umas dicas para você usar bem o foursquare:

  1. Nunca faça check-in em casa ou no trabalho
  2. O mesmo serve para a casa de outras pessoas
  3. Não aceite como amigos no foursquare pessoas que você não conheça.
  4. Só faça check-in em lugares públicos.
  5. Faça check-in na hora em que já estiver saindo.
  6. Por caridade com seus amigos, nunca faça check-in no banheiro (ex.: Fulano checked in @ banheiro do shopping)

Na prática, para mim o foursquare só serve para eu fazer check-in nos lugares que dão desconto por frequência ou, quando estou viajando, para os amigos e parentes poderem acompanhar um pouco da viagem. Às vezes dou check-in em lugares que estou passando próximo, só para ganhar pontos e bagunçar a vida de quem acha que vai descobrir alguma coisa sobre mim no foursquare. 😀

Isso não é neurose, é precaução. Nunca se sabe quando alguém usará essa informação para te prejudicar.

Resumindo: Pense bem antes de revelar para o mundo todo aonde você está ou esteve. Isso pode ser usado contra você ou contra outras pessoas.

Computadores que ligam sozinhos e outras assombrações

Após uma das muitas palestras que dei sobre internet e educação dos filhos, um pai veio fazer uma pergunta:

– Gostei da sua palestra, mas acho que tem um hacker invadindo o computador do meu filho. O que devo fazer?
– Por que você suspeita disto? Perguntei eu.
– Porque apareceram muitos filmes pornográficos lá, e, como ele não vê estas coisas, eu tenho certeza que foi um hacker.
– Ah, certo….

Diria o Jô Soares, tem pai que é cego. Lembrei desta estória enquanto lia a matéria que do jornal Estado de São Paulo de hoje. O texto é interessante do ponto de vista de tecnologia e por isso eu vou comentar:

Adeildda Leão dos Santos, servidora do Serpro sob suspeita de participação no vazamento de dados do vice-presidente do PSDB, Eduardo Jorge, e de outros políticos tucanos, disse que seu computador na agência da Receita em Mauá “era acessado também por outros funcionários”. Em nota oficial, onde apresenta sua versão em 27 linhas, Adeildda relata que a senha da máquina ficava anotada em sua agenda que deixava sobre a mesa ou na gaveta com o cartão da certificação digital.

Oh my God! Deixava a senha da máquina na agenda sobre a mesa junto com o cartão da certificação digital. E eu pergunto, para que senha então? Só a título de curiosidade, um e-CPF custa pelo menos 110 pratas por ano. Multiplique isto pelo número de funcionários da receita e terá uma idéia do desperdício. Podiam ter uma senha só para todos os funcionários logo, ou então tira a senha logo. Mas o pior ainda está por vir.

“Não via problema em outras pessoas usarem o computador pois confiava e não consigo enxergar maldade em meus colegas”, assinala. “Muitas vezes chegava para trabalhar e via que meu computador estava ligado, muito embora tenha desligado no dia anterior antes de sair. Quando questionava, meus colegas me diziam que o computador ligava sozinho.”

If there’s something strange
in your neighborhood
Who ya gonna call?
GHOSTBUSTERS

Isto é um caso para o Ghostbusters com certeza. Apesar de existir Wake-on-lan e coisas do gênero, eu acho que o problema ou é de burrice ou de mentira. Se um funcionário seu contasse esta história, você faria o que?

É fato que a receita federal investiu milhões em segurança e, por razões obvias, deve ser um dos sistemas mais seguros do país. Parece que estamos diante de pessoas com uma extrema habilidade para arrumar desculpas como o rapaz da reportagem do portal Globo de hoje.

Então lembre-se: na hora de investir em segurança para sua empresa chame antes o Ghostbusters para uma verredura, e mande pendurar pelo…, bom pelo pé para ficar PG-13, o funcionário que compartilha senhas.

Senhas compartilhadas e segurança. Quem devia dar o exemplo …

Chego sempre atrasado
mas eu não corro perigo
Quem devia dar o exemplo
Chega atrasado comigo
( E diz )

Soy latino americano
E nunca me engano
E nunca me engano – Zé Rodrix, Soy latino americano

A Receita Federal é um curioso organismo. Trata com implacável rigor o contribuinte, tido por definição como um sonegador em potencial a quem incumbe provar, obedecendo a exigências não raro bizantinas, que está com a sua vida fiscal em ordem. Ao mesmo tempo, para se autoconceder um atestado de inocência política, não se vexa de alegar que o vazamento das declarações de renda de pessoas ligadas ao candidato presidencial do PSDB, José Serra, se explicaria pelos indícios de existência de “um balcão de compra e venda de dados sigilosos”, na delegacia do Fisco em Mauá, na Grande São Paulo, com vítimas a granel. – Editorial do Estado de São Paulo de 01/09/2010

Só de saber que as senhas na Receita Federal são compartilhadas entre os usuários, porque conforme disse uma funcionária, estão com muito trabalho …. (Pausa para gargalhadas politicamente incorretas)

……

(voltando, enxugue os olhos que ficaram marejados de tanto rir)

Qualquer um que trabalha com tecnologia sabe que compartilhar senhas é extremamente perigoso principalmente quando se tratam de dados muito sensíveis. Você deixaria sua senha de banco anotada na frente do computador? Você deixaria a senha do seu orkut anotada na primeira página da agenda sob o título “senha do meu orkut“. Agora imagine compartilhar com dez pessoas a sua senha para acesso ao sistema da receita federal. Assustador? Pois é.

Mas se fosse só burrice a solução era fácil, bastava demitir o incompetente, ops, esqueci que não dá para demitir assim tão fácil um funcionário público. O problema é que ….. o problema é que eu vou parar por aqui porque prometi ao chefe deste blog que só ia tratar do compartilhamento de senhas e não falaria do (paaaaaaaaaaara, bom vocês já sabem ….)

Por favor, comentários apenas acima da linha da cintura.

Santander – Uma falha horrível de segurança

Havia no Brasil um Banco, não monstruoso mas muito competente. Chamava-se Banco Real. O Banco Real tinha um sistema de Web Banking muito legal, tinha suporte a acesso via celular, funcionava redondo, era seguro. Talvez fosse o melhor sistema de internet de um banco brasileiro.

Acontece que o Banco Real foi comprado pelo Santander e as coisas começaram a ficar esquisitas. Primeiro não pediam mais o token de segurança (tudo bem que avisaram, mas isto reduz muito a segurança).

Depois o sistema passou a dar uns bugs esquisitos no Firefox (você liga lá e eles dizem que não suportam Firefox mais).

Ai veio a consagração:

Sabe aquele teclado na tela, chato, que você tem que ficar clicando nas letras? Bom, ele serve para proteger você de invasões, pois uma pessoa pode instalar um programa em seu computador que grava o que você digita no teclado e aí pegar sua senha. Para isso os bancos, empresas de cartão de crédito e outros inventaram o teclado na tela.

Pois este teclado que está presente no site novo do Real (depois de clonarem o site do Santander para cima do Real) aceita que você digite no teclado normal!!!

Tente fazer isso em qualquer banco decente (Itaú, Bradesco, HSBC) que o sistema avisará que você deve, para sua segurança, usar o teclado virtual.

Ligue para seu gerente. Reclame! Diga que você quer o sistema do Real de volta e que pode mandar todas as porcarias espanholas para a Espanha.

Falha de segurança gigante no IPhone

Uso automático de Geotagging (inserção de coordenadas GPS nas suas fotos) é uma gravíssima falha de segurança que os iPhone apresenta.

Descobri por acaso da seguinte maneira:

– Tirei uma foto com o IPhone e mandei para mim mesmo por e-mai pelo próprio aparelho.

– Como queria saber as propriedades da câmera que tirou a foto (abertura, tempo de exposição), cliquei no arquivo com o botão da direita, selecionei propriedades e escolhi a aba detalhes.

– Qual não foi a minha surpresa ao ver ali as coordenadas GPS do local em que estava.

Tudo bem, e daí pode pensar o leitor agora. Se você não apreciou ainda a gravidade da situação vou dar um exemplo bem bobinho:

Você acabou de comprar seu IPhone novo e vai tirar a primeira foto, ele pergunta se pode usar o GPS,  você todo empolgado com seu novo brinquedinho diz que sim, note que nunca mais ele vai perguntar isto de novo para você. Ainda animado com seu novo celular você tira uma foto da sua casa e coloca no seu blog para mostrar como é legal a camera do iPhone.

A partir deste momento qualquer pessoa esperta vai conseguir saber exatamente onde é a sua casa, e que você tem um iPhone, e acho que você concorda comigo que isto não é legal.

Acho que você consegue pensar em exemplos mais trágicos do mau uso desta funcionalidade … Portanto cuidado!

Fortalecendo senhas fracas

Se você tomar cuidado com um detalhe que contarei ao final do artigo esta dica do Lifehacker pode salvar suas senhas:

Basta usar sua senha fácil, por exemplo “senha” e ao digital deslizar os dedos para o lado no teclado:
“ft,kd” é o equivalente a “senha” deslocando duas posições.

No entanto o autor do texto do Lifehacker negligenciou um problema importante: isto depende do teclado que você usa.

Vamos ver um exemplo simples, com o deslocamento de uma tecla para a direita:

love = çpbr

No entanto se seu teclado for americano:

love = ;pbr

Tomando alguns cuidados, pode ser uma técnica interessante.

[Breaking News] – Quebrada a criptografia do GSM

Como se sabe no regime policial que foi instalado no Brasil, não de direito, mas de fato, as chamadas telefônicas nem sempre tem a garantia da confidêncialidade.

No entanto, ao contrário do que muita gente acredita, esta confidêncialidade é quebrada tento acesso físico a circuitos dentro da operadora e não interceptando sua comunicação com a torre de celular.

Desde a criação do GSM toda a comunicação entre o terminal (aparelho celular) e a estação rádio base (ERB) é totalmente criptografado.

Ontem no CCC (Chaos Comunication Congress) o pesquisador de segurança alemão, vulgo hacker, Karsten Nohl, afirmou ter um algoritmo para quebrar a criptografia GSM e que ia distribuir a partir de hoje o próprio.

Portanto ao que tudo indica além de sermos espionados pela ABIN, Polícia Federal e sus muchachos, agora podemos ser escutados por outros bandidos, pelo detetive contratado pela sogra, pelos concorrentes, etc.

O 3G é imune ao ataque, portanto quando quiser privacidade na sua chamada, mude seu aparelho Nokia para UMTS no menu Ferramentas -> Configurações -> Telefone -> Rede -> Modo de Rede