sexta-feira, maio 30, 2008
segunda-feira, maio 26, 2008
Participe: Audiência pública na Assembléia Legislativa sobre software livre, dia 27/05
Depois de uma mobilização de membros do PSl-Ba contra o Protocolo de Intenções entre a Microsoft e o Governo do Estado da Bahia, está confirmada nossa audiência pública na Assembléia Legislativa, mais especificamente na Comissão de Educação , Ciência e Tecnologia, dia 27/05 (terça) às 10h.
O tema dessa audiência será Políticas Públicas de Software Livre no Estado da Bahia e debateremos por lá os seguintes pontos:
* A possível ilegalidade do Protocolo entre o Estado da Bahia e a Microsoft (multinacional privada);
* Projeto de Lei sobre o uso de Software Livre pelo Estado da Bahia;
* Manifesto e reivindicações do PSL- BA para uma Bahia Tecnologicamente Livre e Desenvolvida.
Vale ressaltar que o pessoal da Comissão está tentando entrar em contato com o Dep. Federal Walter Pinheiro e com o senador Paulo Paim - ambos participantes das comissões de ciência e tecnologias das suas respectivas casas legislativas nacionais para também participar desta Audiência. Sendo assim, é possível que a data mude para dia 26 (segunda) ou 30 (sexta).
Fonte:https://twiki.dcc.ufba.br/bin/view/PSL/Noticia20080511190512
O tema dessa audiência será Políticas Públicas de Software Livre no Estado da Bahia e debateremos por lá os seguintes pontos:
* A possível ilegalidade do Protocolo entre o Estado da Bahia e a Microsoft (multinacional privada);
* Projeto de Lei sobre o uso de Software Livre pelo Estado da Bahia;
* Manifesto e reivindicações do PSL- BA para uma Bahia Tecnologicamente Livre e Desenvolvida.
Vale ressaltar que o pessoal da Comissão está tentando entrar em contato com o Dep. Federal Walter Pinheiro e com o senador Paulo Paim - ambos participantes das comissões de ciência e tecnologias das suas respectivas casas legislativas nacionais para também participar desta Audiência. Sendo assim, é possível que a data mude para dia 26 (segunda) ou 30 (sexta).
Fonte:https://twiki.dcc.ufba.br/bin/view/PSL/Noticia20080511190512
Dez Coisas que você não sabia sobre Open-Source
Um dos principais defensores do mundo do movimento de software open-source, Brian Behlendorf falou na Digital Freedon Expo na Universidade Western Cape nesta Quinta-feira, descrevendo as “Dez coisas que você pode não saber sobre o open-source”.
O Behlendorf foi um desenvolvedor chave do servidor de Web Apache, sobre o qual mais da metade dos sites web do mundo rodam.
Aqui estão as dez coisas que você pode não ter um bom conhecimento sobre o software open-source.
1. O open-source antecede o software proprietário
A visão comum é que o open-source é algum tipo de idéia nova radical, mas de fato, embora não expressamente chamada de open-source, o código fonte do primeiro software de computador esteve aberto à observação e modificações. Nos primeiros dias da computação, quando os computadores centrais eram entregues em caminhões, as companhias forneciam o software e de fato era esperados que fossem modificados. Este modelo foi à regra e foi só em 1976 quando Bill Gates postou a famosa carta no Clube Computacional Homebrew que exigia que as pessoas deixassem de compartilhar o seu Altair BASIC que a idéia do software proprietário começou a emergir. A Fundação Software Livre foi começada em 1985 em resposta ao que foi visto como a nova idéia do software que se conservava com código secreto.
2. Apache manteve a web solida e Livre
O apache foi lançado em 1995, no tempo o Netscape era o Navegador da Web dominante e houve um medo que se a mesma companhia podesse possuir o mercado de navegadores e o mercado de servidor assim eles teriam um controle muito grande e poderia cobrar das companhias um imposto nos moldes da hospedagem de web. O lançamento do apache foi feito com um duplo objetivo. Houve aspecto pragmático de esforços que se combinam do melhor desenvolvimento e houve aspecto idealista de guardar HTTP (protocolo de transferência de Hipertexto) como um padrão aberto.
3. Open SSL manteve a criptografia disponível para todo mundo
Open SSL é uma biblioteca de rotinas matemáticas usadas para a encriptação de dados que Behlendorf acredita é o melhor grande exemplo “da segurança pela transparência”. No tempo os militares dos Estados Unidos estavam muito preocupados com os perigos a que a encriptação de dados poderia servir e o governo classificou que a encriptação maior do que 40 bits como “munição”, fazendo ilegal exportar qualquer software com a encriptação maior que 40 bits (Isto é um nível de encriptação muito inseguro e facilmente quebrado, os padrões de segurança atuais estão em torno de 128 bits). Open SSL, que foi capaz de prover a encriptação em uma plataforma open-source fez esta lei discutível. Como o código que foi responsável pela encriptação pode ser visto, podem confiar-lhe. Incidentemente, esta lei de encriptação ainda existe nos Estados Unidos, mas ele não se aplica ao software open-source.
4. Open-source ajudou a liberar o genoma humana
Antes que o mapeamento do genoma humano tivesse sido concluído, um consórcio comercial, Celera, estava seqüenciado o genoma com a intenção de patenteá-lo. Esta idéia irracional de patentear uma descoberta e não uma invenção começou a deixar muitos geneticistas preocupados. Aproximadamente em 2002 um estudante do doutorado, Jim Kent, escreveu 10000 linhas do código em Perl que fizessem um programa que pudesse executar o número reduzido de dados brtuos que foram necessários na seqüência do genoma. Este programa então foi rodado em mais de 100 servidores Linux e o genoma inteiro foi seqüenciados com sucesso alguns meses antes da Celera ter terminado.
5. Microsoft ama o open-source
Tão estranho que possa parecer, Behlendorf explicou que Microsoft tem beneficios do desenvolvimento open-source e também incluiu o software, que embora não “etiquetado como open-source”, tenha o codigo fonte abertamente disponivel. O primeiro uso do TCP/IP no Windows foi um port do código da Berkley. Ele citou o trabalho que a Microsoft fazia com os programas de fonte abertos como MySQL, SugarCRM e JBoss. Codeshare, Channel 9 e outros web sites também foram citados como sinais positivos que o gigante proprietário é aberto além disso, como Behlendorf exprimiu, “dragged kicking and screaming into the future”.
6. O altruísmo não é a única razão por que as pessoas contribuem para software open-source
Muitos contribuidores usam o software profissionalmente e se encontram realizando coisas como correções de falhas e adicionar novas características é muito mais fácil colaborando dentro de um grupo. Segundo uma pesquisa feita em 2006, à base existente de FLOSS representa 131.000 anos reais de esforços de uma pessoa desenvolvendo. Os custos do compartilhamento de código são baixos enquanto os benefícios são altos.
7. As comunidades online podem de fato fazer coisas
Enquanto a colaboração internacional entre vários contribuidores voluntários é de natureza propensa à desordem caótica, há uma nova espécie de gerência de software que está emergindo que maximiza o número de voluntários e o seu potencial para fazer uma diferença. Como há transparência, alguém pode ver o que foi feito no projeto, fazendo-o fácil participar no projeto e tornar-se até a velocidade.
8. O mais importante da liberdade : O direito ao Fork
Alguém pode criar a sua própria versão de uma parte existente do software open-source. Isto é importante na prevenção de uma fechadura do vendedor. Este aspecto de OSS é o cheque essencial no poder do líder de desenvolvimento como eles devem estar bastante abertos às necessidades e querem que a equipe deles não levem as pessoas a um outro projeto.
9. O open-source ainda pode modificar o mundo
Behlendorf acredita fortemente no poder do open-source para fazer o mundo um lugar melhor, citando muitos exemplos. Dentro do governo, ele acredita que o software open-source pode ajudar imensamente na contagem de votos de uma eleição de um modo digno de confiança e também com a transparência de ações de governo e política. Para países como a China onde é restringido o acesso a Internet, a open-source já foi próspera na ajuda de pessoas dentro desses países a conseguir o maior acesso superando a censura exercida neles. O terceiro mundo que pode se beneficiar muito por iniciativas como o Projeto Um Computador Portátil por Criança (OLPC) que roda inteiramente sobre software open-source com o objetivo duplo da criação e produção dele mais barato e para que à suite possa ser modificadas as necessidades específicas de cada país. Luta de gerência de direitos digital foi outro exemplo dado.
10. O open-source precisa da sua ajuda (seja quem for que você seja)
Cada pessoa que queira ajudar não precisa ser programador para ser capaz dar suporte em projetos open-source. Pode começar a ajudar somente testando. Os programas recomendados que podem ser rodados um sistema Windows incluem a suite de escritório OpenOffice e o Navegador de Web Firefox. Há um número de distribuições do Linux com CD “Lives” que pode ser testado sem modificar o seu CD, como Ubuntu. O desenvolvimento open-source acontece por fóruns e a participação em um fórum pode ajudar. Se você encontrar uma falha em uma aplicação open-source, informando que também pode ser útil aos desenvolvedores. Outro caminho de não-programadores bilíngües para ajudar na tradução do texto do programa.
Fonte: Tectonic
O Behlendorf foi um desenvolvedor chave do servidor de Web Apache, sobre o qual mais da metade dos sites web do mundo rodam.
Aqui estão as dez coisas que você pode não ter um bom conhecimento sobre o software open-source.
1. O open-source antecede o software proprietário
A visão comum é que o open-source é algum tipo de idéia nova radical, mas de fato, embora não expressamente chamada de open-source, o código fonte do primeiro software de computador esteve aberto à observação e modificações. Nos primeiros dias da computação, quando os computadores centrais eram entregues em caminhões, as companhias forneciam o software e de fato era esperados que fossem modificados. Este modelo foi à regra e foi só em 1976 quando Bill Gates postou a famosa carta no Clube Computacional Homebrew que exigia que as pessoas deixassem de compartilhar o seu Altair BASIC que a idéia do software proprietário começou a emergir. A Fundação Software Livre foi começada em 1985 em resposta ao que foi visto como a nova idéia do software que se conservava com código secreto.
2. Apache manteve a web solida e Livre
O apache foi lançado em 1995, no tempo o Netscape era o Navegador da Web dominante e houve um medo que se a mesma companhia podesse possuir o mercado de navegadores e o mercado de servidor assim eles teriam um controle muito grande e poderia cobrar das companhias um imposto nos moldes da hospedagem de web. O lançamento do apache foi feito com um duplo objetivo. Houve aspecto pragmático de esforços que se combinam do melhor desenvolvimento e houve aspecto idealista de guardar HTTP (protocolo de transferência de Hipertexto) como um padrão aberto.
3. Open SSL manteve a criptografia disponível para todo mundo
Open SSL é uma biblioteca de rotinas matemáticas usadas para a encriptação de dados que Behlendorf acredita é o melhor grande exemplo “da segurança pela transparência”. No tempo os militares dos Estados Unidos estavam muito preocupados com os perigos a que a encriptação de dados poderia servir e o governo classificou que a encriptação maior do que 40 bits como “munição”, fazendo ilegal exportar qualquer software com a encriptação maior que 40 bits (Isto é um nível de encriptação muito inseguro e facilmente quebrado, os padrões de segurança atuais estão em torno de 128 bits). Open SSL, que foi capaz de prover a encriptação em uma plataforma open-source fez esta lei discutível. Como o código que foi responsável pela encriptação pode ser visto, podem confiar-lhe. Incidentemente, esta lei de encriptação ainda existe nos Estados Unidos, mas ele não se aplica ao software open-source.
4. Open-source ajudou a liberar o genoma humana
Antes que o mapeamento do genoma humano tivesse sido concluído, um consórcio comercial, Celera, estava seqüenciado o genoma com a intenção de patenteá-lo. Esta idéia irracional de patentear uma descoberta e não uma invenção começou a deixar muitos geneticistas preocupados. Aproximadamente em 2002 um estudante do doutorado, Jim Kent, escreveu 10000 linhas do código em Perl que fizessem um programa que pudesse executar o número reduzido de dados brtuos que foram necessários na seqüência do genoma. Este programa então foi rodado em mais de 100 servidores Linux e o genoma inteiro foi seqüenciados com sucesso alguns meses antes da Celera ter terminado.
5. Microsoft ama o open-source
Tão estranho que possa parecer, Behlendorf explicou que Microsoft tem beneficios do desenvolvimento open-source e também incluiu o software, que embora não “etiquetado como open-source”, tenha o codigo fonte abertamente disponivel. O primeiro uso do TCP/IP no Windows foi um port do código da Berkley. Ele citou o trabalho que a Microsoft fazia com os programas de fonte abertos como MySQL, SugarCRM e JBoss. Codeshare, Channel 9 e outros web sites também foram citados como sinais positivos que o gigante proprietário é aberto além disso, como Behlendorf exprimiu, “dragged kicking and screaming into the future”.
6. O altruísmo não é a única razão por que as pessoas contribuem para software open-source
Muitos contribuidores usam o software profissionalmente e se encontram realizando coisas como correções de falhas e adicionar novas características é muito mais fácil colaborando dentro de um grupo. Segundo uma pesquisa feita em 2006, à base existente de FLOSS representa 131.000 anos reais de esforços de uma pessoa desenvolvendo. Os custos do compartilhamento de código são baixos enquanto os benefícios são altos.
7. As comunidades online podem de fato fazer coisas
Enquanto a colaboração internacional entre vários contribuidores voluntários é de natureza propensa à desordem caótica, há uma nova espécie de gerência de software que está emergindo que maximiza o número de voluntários e o seu potencial para fazer uma diferença. Como há transparência, alguém pode ver o que foi feito no projeto, fazendo-o fácil participar no projeto e tornar-se até a velocidade.
8. O mais importante da liberdade : O direito ao Fork
Alguém pode criar a sua própria versão de uma parte existente do software open-source. Isto é importante na prevenção de uma fechadura do vendedor. Este aspecto de OSS é o cheque essencial no poder do líder de desenvolvimento como eles devem estar bastante abertos às necessidades e querem que a equipe deles não levem as pessoas a um outro projeto.
9. O open-source ainda pode modificar o mundo
Behlendorf acredita fortemente no poder do open-source para fazer o mundo um lugar melhor, citando muitos exemplos. Dentro do governo, ele acredita que o software open-source pode ajudar imensamente na contagem de votos de uma eleição de um modo digno de confiança e também com a transparência de ações de governo e política. Para países como a China onde é restringido o acesso a Internet, a open-source já foi próspera na ajuda de pessoas dentro desses países a conseguir o maior acesso superando a censura exercida neles. O terceiro mundo que pode se beneficiar muito por iniciativas como o Projeto Um Computador Portátil por Criança (OLPC) que roda inteiramente sobre software open-source com o objetivo duplo da criação e produção dele mais barato e para que à suite possa ser modificadas as necessidades específicas de cada país. Luta de gerência de direitos digital foi outro exemplo dado.
10. O open-source precisa da sua ajuda (seja quem for que você seja)
Cada pessoa que queira ajudar não precisa ser programador para ser capaz dar suporte em projetos open-source. Pode começar a ajudar somente testando. Os programas recomendados que podem ser rodados um sistema Windows incluem a suite de escritório OpenOffice e o Navegador de Web Firefox. Há um número de distribuições do Linux com CD “Lives” que pode ser testado sem modificar o seu CD, como Ubuntu. O desenvolvimento open-source acontece por fóruns e a participação em um fórum pode ajudar. Se você encontrar uma falha em uma aplicação open-source, informando que também pode ser útil aos desenvolvedores. Outro caminho de não-programadores bilíngües para ajudar na tradução do texto do programa.
Fonte: Tectonic
quinta-feira, maio 15, 2008
Segurança da informação na Internet
Mais um artigo de minha autoria da Série Segurança da Informação que foi publicado no Viva o Linux.
Muita coisa está sendo divulgada na internet sob o tema de "Segurança da Informação", mas mesmo assim os indicadores de ataques e vítimas de fraudes digitais só tem aumentado. Este artigo visa contribuir de forma simples e prover ao leitor noções gerais e diretas sobre o tema.
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=8189
Muita coisa está sendo divulgada na internet sob o tema de "Segurança da Informação", mas mesmo assim os indicadores de ataques e vítimas de fraudes digitais só tem aumentado. Este artigo visa contribuir de forma simples e prover ao leitor noções gerais e diretas sobre o tema.
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=8189
sexta-feira, maio 02, 2008
Os 10 mandamentos do Movimento Internet Segura
1) Protegerás teu computador.
2) Jamais fornecerás senhas
3) Ficarás atento aos endereços em que navegas
4) Conferirás sempre teus pagamentos
5) Manterás sempre atenção ao fornecer dados pessoais
6) Nunca participarás de sorteios fáceis
7) Resistirás a ofertas tentadoras
8) Terás cuidado com programas de invasão
9) Prestarás sempre atenção aos e-mails que recebe
10) Em movimentações financeiras, seguirás sempre as regras para o internet banking
2) Jamais fornecerás senhas
3) Ficarás atento aos endereços em que navegas
4) Conferirás sempre teus pagamentos
5) Manterás sempre atenção ao fornecer dados pessoais
6) Nunca participarás de sorteios fáceis
7) Resistirás a ofertas tentadoras
8) Terás cuidado com programas de invasão
9) Prestarás sempre atenção aos e-mails que recebe
10) Em movimentações financeiras, seguirás sempre as regras para o internet banking
Movimento Internet Segura
O Movimento Internet Segura foi criado com o objetivo de tirar dúvidas e divulgar informações claras e precisas sobre questões relacionadas à segurança e à integridade na rede mundial de computadores.
O Movimento Internet Segura é uma iniciativa da Câmara Brasileira de Comércio Eletrônico (http://camara-e.net/), com a participação de empresas e outras organizações que atuam na internet, com o objetivo de mostrar ao público como é possível evitar as tentativas de fraude que ocorrem na rede. No endereço www.internetsegura.org o internauta recebe informações didáticas sobre segurança e integridade na navegação pela internet.
O Movimento Internet Segura é uma iniciativa da Câmara Brasileira de Comércio Eletrônico (http://camara-e.net/), com a participação de empresas e outras organizações que atuam na internet, com o objetivo de mostrar ao público como é possível evitar as tentativas de fraude que ocorrem na rede. No endereço www.internetsegura.org o internauta recebe informações didáticas sobre segurança e integridade na navegação pela internet.
Polícia Federal cria endereço específico para denúncia de crimes eletrônicos
Em março de 2005, durante as festividades da comemoração dos 61 anos da Polícia Federal, o Serviço de Perícia em Informática do Instituto Nacional de Criminalística (INC) anunciou a criação de e-mail para encaminhamento de denúncias de crimes praticados na internet.
Segundo a PF, o endereço crime.internet@dpf.gov.br é a nova arma dos peritos para descobrir as ações de criminosos na web. Qualquer pessoa que for vítima de um crime na internet, como invasão para descoberta de senhas pessoais ou sites falsos, pode usar a nova ferramenta.
O objetivo é centralizar e canalizar as denúncias para o setor apropriado. Depois de feita a perícia, os laudos serão encaminhadosàs delegacias competentes. Em 2004, o Serviço de Perícia do INC produziu 1.150 laudos periciais só na área de informática, o que representou um aumento de 40% no número de casos periciados.
Segundo a PF, o endereço crime.internet@dpf.gov.br é a nova arma dos peritos para descobrir as ações de criminosos na web. Qualquer pessoa que for vítima de um crime na internet, como invasão para descoberta de senhas pessoais ou sites falsos, pode usar a nova ferramenta.
O objetivo é centralizar e canalizar as denúncias para o setor apropriado. Depois de feita a perícia, os laudos serão encaminhadosàs delegacias competentes. Em 2004, o Serviço de Perícia do INC produziu 1.150 laudos periciais só na área de informática, o que representou um aumento de 40% no número de casos periciados.
Novo cavalo-de-tróia intercepta transações bancárias online em silêncio
IDG Now
15/01/2008
Framingham - Malware alcança dados sensíveis antes destes serem criptografados, burlando dois procedimentos bancários de autenticação.
Um novo cavalo-de-tróia tem como alvo usuários de bancos online e age interceptando dados sensíveis antes que eles sejam criptografados. As informações são, então, enviadas a uma base de dados dos crackers, alerta a Symantec.
Apelidado de Trojan.Silentbanker, o cavalo-de-tróia intercepta transações protegidas por dois procedimentos de autenticação. Durante o ataque, o Silentbanker troca os detalhes da conta bancária do usuário para a conta do cracker, tudo enquanto simula o que seria uma transação comum.
Uma vez que não sabem o que está acontecendo, as vítimas enviam dinheiro à conta da pessoa mal intencionada após digitar uma segunda senha de autenticação.
Apesar do trojan ser considerado pela Symantec como um malware de baixo nível de distribuição e fácil de ser removido das máquinas, o responsável pela equipe de respostas da empresa, Liam O’Murchu, alerta para seu perigo, pois o código malicioso trabalha sem que os usuários identifiquem suas ações.
“A sofisticação deste novo cavalo-de-tróia é preocupante, mesmo para quem vê estes malwares no dia-a-dia”, escreveu o executivo em seu blog. “Ele faz o download de um arquivo de configuração que contém os nomes de domínio de mais de 400 bancos - não apenas nos Estados Unidos, mas outros Países como França, Espanha, Reino Unido, Finlândia e assim por diante.”
A ameaça pode chegar a um PC por meio de downloads ou silenciosamente por vulnerabilidades online, segundo a Symantec. Uma vez na máquina, ela captura diversas APIs no Internet Explorer e no Firefox.
Uma vez no browser, o software malicioso pode redirecionar pedidos legítimos de bancos a computadores controlados por crackers, alterar o HTML de sites e gravar dados sensíveis dos usuários.
A Symantec recomenda que os usuários desabilitem a restauração do sistema antes de eliminar o cavalo-de-tróia para se certificar que o sistema não copia o malware inadvertidamente. Além disso é preciso manter atualizada a solução de segurança utilizada.
15/01/2008
Framingham - Malware alcança dados sensíveis antes destes serem criptografados, burlando dois procedimentos bancários de autenticação.
Um novo cavalo-de-tróia tem como alvo usuários de bancos online e age interceptando dados sensíveis antes que eles sejam criptografados. As informações são, então, enviadas a uma base de dados dos crackers, alerta a Symantec.
Apelidado de Trojan.Silentbanker, o cavalo-de-tróia intercepta transações protegidas por dois procedimentos de autenticação. Durante o ataque, o Silentbanker troca os detalhes da conta bancária do usuário para a conta do cracker, tudo enquanto simula o que seria uma transação comum.
Uma vez que não sabem o que está acontecendo, as vítimas enviam dinheiro à conta da pessoa mal intencionada após digitar uma segunda senha de autenticação.
Apesar do trojan ser considerado pela Symantec como um malware de baixo nível de distribuição e fácil de ser removido das máquinas, o responsável pela equipe de respostas da empresa, Liam O’Murchu, alerta para seu perigo, pois o código malicioso trabalha sem que os usuários identifiquem suas ações.
“A sofisticação deste novo cavalo-de-tróia é preocupante, mesmo para quem vê estes malwares no dia-a-dia”, escreveu o executivo em seu blog. “Ele faz o download de um arquivo de configuração que contém os nomes de domínio de mais de 400 bancos - não apenas nos Estados Unidos, mas outros Países como França, Espanha, Reino Unido, Finlândia e assim por diante.”
A ameaça pode chegar a um PC por meio de downloads ou silenciosamente por vulnerabilidades online, segundo a Symantec. Uma vez na máquina, ela captura diversas APIs no Internet Explorer e no Firefox.
Uma vez no browser, o software malicioso pode redirecionar pedidos legítimos de bancos a computadores controlados por crackers, alterar o HTML de sites e gravar dados sensíveis dos usuários.
A Symantec recomenda que os usuários desabilitem a restauração do sistema antes de eliminar o cavalo-de-tróia para se certificar que o sistema não copia o malware inadvertidamente. Além disso é preciso manter atualizada a solução de segurança utilizada.
Hackers experientes terceirizam roubo de dados para amadores
IDG News Service
24/01/2008
Um grupo marroquino chamado “Mr. Brain” está oferecendo kits de phishing a partir de um site hospedado na França. A afirmação é de Paul Mutton, desenvolvedor de serviços de internet da Netcraft, empresa britânica de segurança.
O pacote de software permite que os hackers iniciantes consigam rapidamente criar um site falso, que se passe pela página de alguma empresa renomada, para induzir internautas a colocarem dados pessoais e bancários. O kit também inclui templates para e-mails falsos de marcas como Bank of América, eBay, PayPal e HSBC.
O site do Mr. Brain lista cada kit e o tipo de dados que cada um deles permite que sejam coletados, como nomes de usuário, senhas ou números de seguro social. A Netcraft publicou telas copiadas do site.
Segundo Mutton, o que os scammers aspirantes não sabem é que os kits são preparados para enviar quaisquer informações relevantes coletadas de volta para contas de e-mail controladas pelo Mr. Brain. “Obviamente, é por isso que estão oferecendo os kits gratuitamente”, diz Mutton. “Eu fiquei impressionado.”
“Basicamente, o grupo explora os phishers novatos – são eles que fazem o serviço pesado”, diz Mutton. O grupo coloca nos ombros desses iniciantes o custo e risco implicados na ação.
É difícil saber sem mais pesquisas quantos desses kits estão vivos na internet, mas Mutton afirma que a Netcraft identificou um deles, que usava o nome do Bank of América, este mês.
24/01/2008
Um grupo marroquino chamado “Mr. Brain” está oferecendo kits de phishing a partir de um site hospedado na França. A afirmação é de Paul Mutton, desenvolvedor de serviços de internet da Netcraft, empresa britânica de segurança.
O pacote de software permite que os hackers iniciantes consigam rapidamente criar um site falso, que se passe pela página de alguma empresa renomada, para induzir internautas a colocarem dados pessoais e bancários. O kit também inclui templates para e-mails falsos de marcas como Bank of América, eBay, PayPal e HSBC.
O site do Mr. Brain lista cada kit e o tipo de dados que cada um deles permite que sejam coletados, como nomes de usuário, senhas ou números de seguro social. A Netcraft publicou telas copiadas do site.
Segundo Mutton, o que os scammers aspirantes não sabem é que os kits são preparados para enviar quaisquer informações relevantes coletadas de volta para contas de e-mail controladas pelo Mr. Brain. “Obviamente, é por isso que estão oferecendo os kits gratuitamente”, diz Mutton. “Eu fiquei impressionado.”
“Basicamente, o grupo explora os phishers novatos – são eles que fazem o serviço pesado”, diz Mutton. O grupo coloca nos ombros desses iniciantes o custo e risco implicados na ação.
É difícil saber sem mais pesquisas quantos desses kits estão vivos na internet, mas Mutton afirma que a Netcraft identificou um deles, que usava o nome do Bank of América, este mês.
Contra fraude, Bradesco lê as mãos
jornal Valor Econômico - André Borges
04/04/2008
O Bradesco acerta os últimos detalhes para comprar seis mil novos caixas automáticos (ATMs). Dessa vez, porém, não se trata de modelos tradicionais. Cada um dos equipamentos trará instalado um dispositivo capaz de fazer a leitura do sistema vascular do usuário, uma tecnologia de biometria desenvolvida pela japonesa Fujitsu.
O porte do investimento é argumento suficiente para demonstrar que não é um mero projeto-piloto. Apenas em aquisição de máquinas - sem incluir custos com serviços de suporte e manutenção, por exemplo -, o Bradesco deverá desembolsar nada menos que R$ 138 milhões, tendo por base que cada ATM lhe custará cerca de R$ 23 mil.
A idéia é que, lentamente, essas máquinas substituam modelos mais antigos e sejam instaladas em novos postos de atendimento ou agências. O Bradesco tem hoje 26.133 ATMs espalhados pelo país. Isso significa que, no médio prazo, uma em cada quatro máquinas de auto-atendimento do banco oferecerá o recurso de leitura das veias. "Será uma implementação gradativa", diz Laércio Albino Cezar, vice-presidente executivo do Bradesco. "Quem sabe um dia, no futuro, o cliente não tenha mais que memorizar números ou carregar um dispositivo de senhas."
O projeto de biometria não caiu no colo do Bradesco. Cezar afirma há alguns anos o banco vinha pesquisando alternativas para aumentar o grau de segurança dos usuários. Ações como leitura de íris, da face e até da voz foram testadas, mas as pessoas sempre reclamavam. "Elas acharam os métodos muito intrusivos, houve muita rejeição", comenta o executivo.
Os resultados também não empolgaram quando testada a leitura da impressão digital do usuário, método mais tradicional de biometria. "Vimos que muitos associavam a leitura do polegar a ações da polícia", diz Cezar. Também pesaram na balança a questão higiênica dos leitores e a eficiência do recurso. "Um dedo sujo não é lido. Além disso trazer rejeições, gera um baixo índice de acerto."
Em 2005, o Bradesco teve notícia da tecnologia desenvolvida pela Fujitsu e decidiu ir até o Japão para ver o sistema funcionar de perto. O produto começava a ser usado pelo banco Tóquio-Mitsubishi, que hoje tem cerca de dez mil ATMs com o recurso. O que chamou a atenção é que, diferentemente dos sistemas de leitura de impressão digital, que exigem o tato, bastava que o usuário estendesse sua mão sobre um sensor, sem a necessidade de toque.
Outra característica diz respeito à natureza própria dos sistemas de biometria: como a senha é a própria pessoa, fica dispensado o investimento em dispositivos de acesso como cartões e tokens, os pequenos chaveiros eletrônicos. "Há um forte apelo econômico", comenta Cezar. "Como a biometria é a própria pessoa, temos que nos preocupar só com os leitores, sem custo de gerenciamento e distribuição de dispositivos."
O Bradesco partiu para o teste. No segundo semestre do ano passado, adquiriu cerca de 900 kits de biometria da Fujitsu. Em agosto, deu início à instalação de cerca de 500 leitores em ATMs comuns de 267 agências de Minas Gerais, Paraná, Rio e São Paulo. Passados seis meses, o banco já somava 120 mil usuários cadastrados para usar o recurso. Nesse período, esses correntistas realizaram mais de 500 mil transações envolvendo a leitura do sistema vascular.
Agora, a meta é que, antes mesmo que os novos ATMs sejam entregues, os demais kits de biometria comprados no ano passado sejam integrados aos caixas automáticos em uso. Até junho, diz Cezar, o banco terá mais de 500 agências com caixas automáticos biométricos. Nos próximos 12 meses, o objetivo é atingir 1 milhão de usuários cadastrados para usar o recurso. "Não vamos obrigar o uso da biometria, apenas comunicaremos ao cliente que ele poderá aderir ao recurso."
Segundo Cezar, os testes realizados até agora demonstraram um índice de rejeição próximo a zero. "O que vemos é que as pessoas se sentem confortáveis, como se estivessem em um mundo futurista."
Neste ano, o Bradesco vai destinar nada menos que R$ 2,2 bilhões em investimentos para tecnologia. Deste total, algo entre 7% a 8% será usado para projetos de segurança, como o de biometria.
Mas e se, em um acidente, a pessoa se ferir ou até perder a mão? Não há problema, diz Cezar, as duas mãos são cadastradas, ela pode usar a outra. Mas e se alguém perder as duas mãos? Aí não tem jeito, é preciso ir até uma agência.
04/04/2008
O Bradesco acerta os últimos detalhes para comprar seis mil novos caixas automáticos (ATMs). Dessa vez, porém, não se trata de modelos tradicionais. Cada um dos equipamentos trará instalado um dispositivo capaz de fazer a leitura do sistema vascular do usuário, uma tecnologia de biometria desenvolvida pela japonesa Fujitsu.
O porte do investimento é argumento suficiente para demonstrar que não é um mero projeto-piloto. Apenas em aquisição de máquinas - sem incluir custos com serviços de suporte e manutenção, por exemplo -, o Bradesco deverá desembolsar nada menos que R$ 138 milhões, tendo por base que cada ATM lhe custará cerca de R$ 23 mil.
A idéia é que, lentamente, essas máquinas substituam modelos mais antigos e sejam instaladas em novos postos de atendimento ou agências. O Bradesco tem hoje 26.133 ATMs espalhados pelo país. Isso significa que, no médio prazo, uma em cada quatro máquinas de auto-atendimento do banco oferecerá o recurso de leitura das veias. "Será uma implementação gradativa", diz Laércio Albino Cezar, vice-presidente executivo do Bradesco. "Quem sabe um dia, no futuro, o cliente não tenha mais que memorizar números ou carregar um dispositivo de senhas."
O projeto de biometria não caiu no colo do Bradesco. Cezar afirma há alguns anos o banco vinha pesquisando alternativas para aumentar o grau de segurança dos usuários. Ações como leitura de íris, da face e até da voz foram testadas, mas as pessoas sempre reclamavam. "Elas acharam os métodos muito intrusivos, houve muita rejeição", comenta o executivo.
Os resultados também não empolgaram quando testada a leitura da impressão digital do usuário, método mais tradicional de biometria. "Vimos que muitos associavam a leitura do polegar a ações da polícia", diz Cezar. Também pesaram na balança a questão higiênica dos leitores e a eficiência do recurso. "Um dedo sujo não é lido. Além disso trazer rejeições, gera um baixo índice de acerto."
Em 2005, o Bradesco teve notícia da tecnologia desenvolvida pela Fujitsu e decidiu ir até o Japão para ver o sistema funcionar de perto. O produto começava a ser usado pelo banco Tóquio-Mitsubishi, que hoje tem cerca de dez mil ATMs com o recurso. O que chamou a atenção é que, diferentemente dos sistemas de leitura de impressão digital, que exigem o tato, bastava que o usuário estendesse sua mão sobre um sensor, sem a necessidade de toque.
Outra característica diz respeito à natureza própria dos sistemas de biometria: como a senha é a própria pessoa, fica dispensado o investimento em dispositivos de acesso como cartões e tokens, os pequenos chaveiros eletrônicos. "Há um forte apelo econômico", comenta Cezar. "Como a biometria é a própria pessoa, temos que nos preocupar só com os leitores, sem custo de gerenciamento e distribuição de dispositivos."
O Bradesco partiu para o teste. No segundo semestre do ano passado, adquiriu cerca de 900 kits de biometria da Fujitsu. Em agosto, deu início à instalação de cerca de 500 leitores em ATMs comuns de 267 agências de Minas Gerais, Paraná, Rio e São Paulo. Passados seis meses, o banco já somava 120 mil usuários cadastrados para usar o recurso. Nesse período, esses correntistas realizaram mais de 500 mil transações envolvendo a leitura do sistema vascular.
Agora, a meta é que, antes mesmo que os novos ATMs sejam entregues, os demais kits de biometria comprados no ano passado sejam integrados aos caixas automáticos em uso. Até junho, diz Cezar, o banco terá mais de 500 agências com caixas automáticos biométricos. Nos próximos 12 meses, o objetivo é atingir 1 milhão de usuários cadastrados para usar o recurso. "Não vamos obrigar o uso da biometria, apenas comunicaremos ao cliente que ele poderá aderir ao recurso."
Segundo Cezar, os testes realizados até agora demonstraram um índice de rejeição próximo a zero. "O que vemos é que as pessoas se sentem confortáveis, como se estivessem em um mundo futurista."
Neste ano, o Bradesco vai destinar nada menos que R$ 2,2 bilhões em investimentos para tecnologia. Deste total, algo entre 7% a 8% será usado para projetos de segurança, como o de biometria.
Mas e se, em um acidente, a pessoa se ferir ou até perder a mão? Não há problema, diz Cezar, as duas mãos são cadastradas, ela pode usar a outra. Mas e se alguém perder as duas mãos? Aí não tem jeito, é preciso ir até uma agência.
Criptografia não tão segura
boletim IT Web
25/02/2008
Um grupo de pesquisadores norte-americanos demonstrou uma nova modalidade de ataques a computadores que compromete seriamente os conteúdos de sistemas de memória até então considerados seguros, particularmente os presentes em laptops.
Os pesquisadores conseguiram "quebrar" diversas tecnologias de criptografia de disco amplamente usadas, entre as quais a BitLocker, da Microsoft (usada no Windows Vista), o FileVault, da Apple (usado no Mac OS X), e a dm-crypt, usada em plataforma Linux.
O método envolveu o uso de simples latas de sprays, do tipo usado para remover poeira de teclados de computadores. O spray foi usado para resfriar os chips de memória dos laptops, de modo a fazer com que os "invasores" tivessem mais tempo para executar os ataques.
Ao virar as latas de cabeça para baixo, o líquido expelido resfriou os chips a 50 graus negativos. Com isso, os pesquisadores diminuíram a velocidade da taxa de decaimento da memória RAM do laptop de alguns segundos para 10 minutos. O tempo resultante foi suficiente para recuperar 99,9% da informação instalada nessa memória temporária.
O modo de ataque, focado na particularidade do chip de memória RAM reter por algum tempo as chaves, mostrou-se particularmente eficiente ao ser usado contra computadores que se encontravam ligados mas não travados por sistemas de identificação por senha, como é o caso de muitos laptops em modo de stand by ou hibernação.
Ou seja, uma medida para diminuir o risco de invasão seria desligar o computador quando não em uso, ainda que em alguns casos nem mesmo isso seria suficiente, especialmente se a máquina estiver ligada à internet por cabo ou algum sistema sem fio.
Participaram do trabalho pesquisadores da Universidade de Princeton, integrantes da Eletronic Frontier Foundation e da empresa Wind River Systems.
O método foi descrito no artigo Lest we remember: Cold boot attacks on encryption keys, de Alex Halderman e outros, e pode ser lido aqui.
*informações da Agência FAPESP
25/02/2008
Um grupo de pesquisadores norte-americanos demonstrou uma nova modalidade de ataques a computadores que compromete seriamente os conteúdos de sistemas de memória até então considerados seguros, particularmente os presentes em laptops.
Os pesquisadores conseguiram "quebrar" diversas tecnologias de criptografia de disco amplamente usadas, entre as quais a BitLocker, da Microsoft (usada no Windows Vista), o FileVault, da Apple (usado no Mac OS X), e a dm-crypt, usada em plataforma Linux.
O método envolveu o uso de simples latas de sprays, do tipo usado para remover poeira de teclados de computadores. O spray foi usado para resfriar os chips de memória dos laptops, de modo a fazer com que os "invasores" tivessem mais tempo para executar os ataques.
Ao virar as latas de cabeça para baixo, o líquido expelido resfriou os chips a 50 graus negativos. Com isso, os pesquisadores diminuíram a velocidade da taxa de decaimento da memória RAM do laptop de alguns segundos para 10 minutos. O tempo resultante foi suficiente para recuperar 99,9% da informação instalada nessa memória temporária.
O modo de ataque, focado na particularidade do chip de memória RAM reter por algum tempo as chaves, mostrou-se particularmente eficiente ao ser usado contra computadores que se encontravam ligados mas não travados por sistemas de identificação por senha, como é o caso de muitos laptops em modo de stand by ou hibernação.
Ou seja, uma medida para diminuir o risco de invasão seria desligar o computador quando não em uso, ainda que em alguns casos nem mesmo isso seria suficiente, especialmente se a máquina estiver ligada à internet por cabo ou algum sistema sem fio.
Participaram do trabalho pesquisadores da Universidade de Princeton, integrantes da Eletronic Frontier Foundation e da empresa Wind River Systems.
O método foi descrito no artigo Lest we remember: Cold boot attacks on encryption keys, de Alex Halderman e outros, e pode ser lido aqui.
*informações da Agência FAPESP
Assinar:
Postagens (Atom)