A conversa continuou e fui informado que só poderia fazer isso por telefone, naquela ligação e teria que passar o meu cartão de crédito para o vendedor. Como? Sim, isso mesmo. Um cara me liga e pede meu cartão de crédito. De imediato neguei a reserva. Não passo nem o nome do meu cachorro por telefone!

Concordo que fui eu quem passou as informações de contato para a Claro, ou seja, devo ter concordado em alguma letra minúscula que receberia essa oferta via ligação. Mas considero isso uma falha de segurança incrível.

E se alguém mal intencionado resolve ligar aleatoriamente para pessoas dizendo ser da Claro e que para a reserva precisa do cartão de crédito? Não ficaria espantado se muita gente concordasse tamanho o poder de persuasão dos bandidos. Vai ter até gente comprando 100 reais de crédito para pré-pago Claro e passando isso por telefone… Não acredita?

Lição de casa

Como todo blogueiro que se preza, fiz a lição de casa. Liguei para a assessoria de imprensa da Claro e tirei minhas dúvidas em relação a esse procedimento. É isso mesmo, confirmado com a assessoria de imprensa. Questionei a segurança do processo e fui informado que é a mesma coisa que tele-vendas ativo, ou seja, padrão. Informei minha preocupação com golpes e disseram que há todo um protocolo de segurança que é seguido. Ok, mas eu não dou o nome do cachorro por telefone pra ninguém!

Quanto a preço e disponibilidade, há vários boatos por aí. Mas a resposta padrão é que não podem informar isso ainda. Ah, e o boato que não devolverão os 100 reais da reserva, é mentira! Vão devolver sim.

No mais é isso. Sinceramente não gostei da forma que estão procedendo na reserva do iPhone. Não sei de quem foi essa idéia genial lá dentro da Claro. O detalhe é que a idéia é idiota… E daqui a pouco vai virar golpe e sair no Balela.info.

Falha 1

“Sim, sou do blog Techbits”, respondi. E ela: “… é… nós estamos dando preferência primeiro para veículos de imprensa. Eu vou lá (apontou para os dinossauros) e se der você pergunta no final.”. Como? Questionei esse modus operandi, disse que eu sou um veículo como outro qualquer, que história é essa que blogs não podem perguntar na ordem da fila e só se sobrar tempo? Será que ela não viu nenhuma das inúmeras discussões sobre esse assunto que rolaram durante a semana?

No final consegui meu espaço e, claro, resolvi criticar na frente do trio organizador do evento o que tinha acabado de acontecer. Eu quis enteder por que diabos eles acabaram de se vangloriar de que o Campus Party Brasil teve 70% da banda usada para upload (ou seja, UGC segundo eles) e eu, que faço parte desse fenômeno, tinha que ficar à margem em uma coletiva? Os organizadores ficaram indignados com meu questionamento… Seriam eles dinossauros disfarçados?

Falha 2

Pra finalizar, já que estava em poder do microfone, fiz a minha pergunta planejada. Questionei o procedimento de segurança em relação aos nossos notebooks e computadores. Foi sorte não terem roubado nada. Vamos ver se eu entendi… eu subo à área de computadores com um notebook que ninguém sabe que é meu… circulo, circulo e na hora de ir embora tenho que provar que é meu… para provar é só ir aos postos de cadastros que se limitam a colar um adesivo violável com o número do seu RG. Hum…

Quer dizer que se eu achar um note por aí sem esse adesivo e reclamar a propriedade, o note passa automaticamente a ser meu? Isso mesmo! Ao invés de cadastrarem nossos gadgets no momento do check-in no evento – o que seria mais lógico – cadastram sem critério algum… é só mostrar e dizer que é seu… Que lógica é essa? E eles disseram que eu estava ensinando o segredo ao ladrão, insinuando que provavelmente só eu pensei nisso. A informação não é livre? Eles mesmo disseram algo assim 15 minutos antes, na palestra coletiva. Sério, não entendi nada! Será que se eu tivesse me identificado como blogueiro de aluguel da Intel o tratamento recebido teria sido diferente? Desculpem-me mas só entro as 16h…

Falha 3

Ninguém pode entrar no Campus Party depois da meia-noite. Claro, regras do parque. Mas então, por que diabos fizeram ontem uma festa em uma casa noturna grátis para os participantes? É só pra quem está hospedado em hotel/ mora em SP? Quem estava no prédio da Bienal sabe que se sair não volta… Regras do parque, tudo bem, mas então que façam a festa aqui dentro!

Falha 4

São três mil inscritos… cada um com um só crachá, não? O credenciamento de participantes foi extremamente falho. Um amigo meu está aqui com três crachás, sendo um deles do tipo “C”, de colaborador, verde. Mas ele não é colaborador do #cparty mas poderia facilmente colocar quem ele quisesse aqui dentro. Inclusive o ladrão citado pelos organizadores na falha 2. Claro, ele não fez nada disso, mas vi essa dos crachás múltiplos acontecerem com vários conhecidos meus. Espero que no ano que vem (e até 2013) essas e outras falhas sejam sanadas.

Falha 5

Ah, desisti… tá ficando um post gigante…

A idéia do Google é convencer grandes empresas a migrar suas plataformas para o Google Apps. Atualmente cerca de 1000 pequenas empresas começam a usar o Google Apps todos os dias. Mostrar que a plataforma é segura pode facilitar a venda de pacotes pagos. Um dos fatores que fazem a TIC manter os sistemas legados é que conseguem gerenciar razoavelmente bem as regras de negócios. Se o Google mostrar que sua plataforma pode substituir com segurança esses sistemas, está aberta a porta para conquistar fortemente o mercado corporativo.

O interessante é que o Google não mantém apenas uma cópia ou duas das informações. O sistema deles funciona em uma espécie de grid computing, com sistema de arquivos próprios chamado de GFS (Google File System, o que mais poderia ser essa sigla?). Mesmo que um servidor pegue fogo, pife, seja destruído, várias outras cópias dele rodam em outro lugar e assumem imediatamente, sendo totalmente transparente para o usuário.

Um organização que queira ter um sistema seguro para evitar perda de informações teria que investir milhões e assim mesmo ficaria vulnerável caso mantenha poucas cópias backup, mesmo em lugares distantes. Obviamente não adianta manter o backup no mesmo prédio da cópia principal. E seu datacenter for vítima da síndrome do Boeing? Claro que a solução que o Google implementa não é perfeita. Mas possui um ótimo custo-benefício para a maioria das organizações.

[Atualização]: (*) O Alex Hubner do CFGigolô informa que o Google Apps não aceita pagamentos de empresas brasileiras, o que é um problema para a expansão do serviço aqui no Brasil. Assim o Google Apps fica restrito apenas à versão gratuita, ou seja, para microempresas.

obs: o Fugita foi convidado para escrever sobre como blogar como convidado no about:blank.

1. Altere a senha de administração. As senhas padrões de roteadores, access points, appliances, switches são divulgadas através de listas de senhas padrões. Lembre-se de usar uma senha segura – letras e números alternadamente, sem repetição alguma e maior que 6 caracteres. Não se importe em anotar essa senha em algum papel, apenas lembre-se de guardá-lo em local seguro. Se possível troque a senha periodicamente – uma vez a cada 3 meses, por exemplo.
2. Troque o SSID. Coloque algo diferente que dificulte a identificação da fonte da rede. Assim, mesmo que eventualmente alguns pacotes da sua rede sejam capturados, não haverá como descobrir da onde eles vêm. Procure sempre usar nomes genéricos como “wifi_jkl”, “default123” e assim por diante.
3. Desabilite o “SSID Broadcast”. Isso evita que dispositivos identifiquem automaticamente a existência da sua rede. A desvantagem é que para conectar, você terá que inserir manualmente o SSID. O que não é exatamente uma grande dificuldade, já que você terá que digitar a senha também.
4. Ative criptografia dos dados. Para isso, habilite a opção de criptografia WPA/PSK com TKIP. Para gerar a senha (passphrase) utilize o gerador de senhas seguras desenvolvido pelo Steve Gibson. Sem criptografia, é possível capturar todas as informações que trafegam na rede como por exemplo: conversas de MSN, logins e senhas em sistemas HTTP, e-mails e etc. Com a criptografia, mesmo que pacotes sejam interceptados, ninguém conseguirá descobrir o conteúdo real deles. Note que a senha terá 63 dígitos, o que torna o ato de digitá-la algo não muito prático. Por isso, recomendo a utilização de um meio seguro para compartilhar a senha com os dispositivos que vão acessar a rede – um pen drive por exemplo. Uma vez digitada, a senha será armazenada na memória interna do computador ou dispositivo e não será necessário redigitá-la.

Os problemas

No último dia de 2006, foi descoberta uma vulnerabilidade que permitia a visualização dos contatos do Gmail. No último dia 12, descobriu-se uma forma de copiar os cookies dos serviços do Google tornando possível invadir qualquer serviço que o visitante tivesse registrado com a possibilidade de acesso a e-mails, documentos de texto e planilhas, etc… O último, recém-descoberto (16/01/2006), ainda está sem correção e não se divulgaram detalhes, foi corrigido em poucas horas.

Na verdade esses problemas são provas de conceito, ou seja, foram feitos experimentalmente e imediatamente reportadas à empresa de Montain View assim que descobertos. A gigante da internet agiu rapidamente e corrigiu os problemas de segurança. Só depois das correções é que os “descobridores” divulgaram a natureza dos experimentos que realizaram, mas aí não havia mais perigo. As falhas não ficaram exposta aos hackers de plantão para serem explorados. E todos necessitavam a visitação de sites com código malicioso ao mesmo tempo que você estivesse logado a algum serviço do Google.

Provavelmente não relacionado a este assunto, mas só para deixar registrado, tivemos ainda o caso dos emails apagados do Gmail, que afetou ao redor de 60 usuários do serviço.

Software on-line vs. Software off-line

Algo que preocupa ao usarmos muitos softwares on-line, é a segurança das informações. Eu uso processador de textos, planilha, calendário, webmail, estatísticas, leitor de RSS, mensageiro instantâneo, etc… Tudo on-line. Se alguém conseguir invadir ou descobrir minha senha, corro o risco de perder todos os dados. Por outro lado, usando somente softwares off-line (de desktop) seria mais complicado alguém invadir essas informações (colega da mesa ao lado quando vou buscar um café? hacker entrando pela conexão da internet?).

Quando uma empresa de software para desktops libera uma correção de segurança, é necessário a ação pró-ativa do usuário, do departamento de TI ou do sistema operacional na atualização. Se isso não ocorrer, o buraco de segurança fica descoberto. Em softwares on-line, quando a fornecedora do software libera a correção, essa passa imediatamente a valer para todos os usuários, nada de downloads e atualizações. Claro, há sempre o risco se um problema desses cai na mão de pessoas mal intencionadas.

No caso do Google apresentaram correções rapidamente para os problemas verificados. A Microsoft, sabemos, fica até 30 dias com falhas abertas e, quando soltam a correção, muita gente demora para atualizar seus sistemas e acaba sendo vítima de problemas já solucionados. Colocando tudo na balança, quer saber, continuo com os softwares on-line.

Atirando a esmo, acertando em cheio

Acredito que boa parte dos leitores assíduos do Techbits têm cuidados de segurança acima da média dos internautas. Devem usar um anti-vírus, um firewall, talvez um roteador, não clicam em links suspeitos, baixam as últimas correções do Windows quase que imediatamente quando disponíveis no patch tuesday. Vocês estão a salvo de problemas. Mas existem milhões de usuários do Windows espalhados pelo mundo. E com certeza a maioria deles não segue esses procedimentos de segurança em seu uso diário.

No momento em que esses milhões de usuários leigos navegam pela internet, entram em sites aqui e acolá, certamente muitos deles cairão em armadilhas. E realmente caem. Acabam fazendo parte de botnets sem nem imaginar o que é isso, e ligam correndo para aquele amigo geek que sabe tudo de informática quando seu computador começa a se comportar de forma estranha. E aí fazemos as recomendações de sempre. Depois ficamos imaginando como isso pode ainda acontecer com as pessoas? Todos os dias milhares de novos internautas caem na rede. A Engenharia Social conta com a ingenuidade destes novatos para faturar uns trocados.

Existe um browser totalmente seguro?

Não. Nem o idolatrado Firefox escapa dos bugs de segurança. Você pode argumentar então que não faz sentido mudar para ele se vou trocar gato (IE6) por lebre (Firefox). Bom, em geral o Firefox exibe muito menos problemas do que seu concorrente do logotipo azul. E quando surgem falhas de segurança, logo são corrigidos. Não se fica 80% do ano exposto. Outra alternativa é atualizar para o Internet Explorer 7, supostamente mais seguro. Aqui atualizei há tempos, até fiz um review. Mas sinceramente, fico ainda com o Firefox.

Leia também:

• Uma análise do Firefox 2.0
• Uma análise do Internet Explorer 7 por um usuário do Firefox

Obs: o próximo patch tuesday ocorre no dia 09 de Janeiro de 2007

Engenharia Social

Existe um conceito em segurança da informação chamado de engenharia social. Na verdade é uma forma branda de chamar os que roubam informação de outra coisa. Segundo a Wikipedia, a definição de engenharia social é:

A Engenharia Social é um método utilizado para obter acesso à informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o ‘engenheiro’ pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc.

Basicamente os crackers (hackers “do mal”) são os engenheiros sociais. E atacam usuários comuns de várias formas. Uma delas é enviando Phishing Scam, aqueles e-mails fingindo ser do seu banco ou do SPC dizendo que você possui uma dívida, algo assim. Como mandam isso para milhões de pessoas certamente muitas delas possuem dívidas. Uma pequena porcentagem dos endividados acredita que o e-mail é verdadeiro e clica no link fornecido. Pronto, caiu no golpe.

Marketing criativo, usuário leigo

É aquela velha história… Os marketeiros são extremamente criativos. Os anunciantes são um pouco mais conservadores. A população em geral não entende o que está acontecendo. A idéia do Bando do Brasil foi ótima. Os clientes acharam que era obra de hacker.

Segundo o Meio Bit teve gente reclamando de invasão de privacidade por ter o nome exposto no logotipo do banco… Aqui no Techbits certa vez uma leitora enviou uma mensagem reclamando que seu e-mail estava aparecendo na área de comentários do blog. O que aconteceu foi que o formulário de comentários armazenou em algum cookie o e-mail dela e exibia, só para ela, seu endereço de correio eletrônico. É aquela velha história… o usuário médio não entende o que está acontecendo.

Segurança da Urna Eletrônica

A urna eletrônica tem lá seus críticos. O código de programação pode ser alterado? O voto pode ser lido e alterado pelo mesário? O disquete (sim, usam disquete!) é seguro? O título de eleitor não tem foto? Eu, por exemplo, votei no primeiro turno com cédulas de papel pois a urna eletrônica da minha seção havia quebrado. Achei mais inseguro do que apertar uns botões grandões e ouvir aquele som característico da finalização do voto.

De acordo com a legislação eleitoral o código de programação da urna é aberta aos partidos interessados, o que evitaria a inclusão de software que altera o resultado. A legislação aponta ainda que o registro do voto é anônimo e que os dados são sempre criptografados. Tendo os partidos acesso ao código-fonte, ou seja, a possibilidade de analisá-lo, creio que qualquer problema em relação à integridade da informação está resolvido.

Bits a toda velocidade

Agora vamos falar do que impressionou nessa eleição. Não, não foi nenhum candidato em especial e sim a velocidade da apuração. O Brasil, com suas dimensões continentais, tem 3 fusos horários (achava que eram 4 mas parece que são apenas 3). Por isso apesar da contagem dos votos começar às 17 horas de Brasília em alguns Estados, só pode ser divulgada a partir das 19 horas quando o último eleitor vota lá no Acre.

Lá pelas 19h30, quando fui acompanhar os primeiros números o resultado já era praticamente final. Fiquei assutado com tamanha velocidade mas ao mesmo tempo feliz com a tecnologia. Não deu tempo nem de torcer pra um ou outro candidato. Que coisa mais sem graça…

Blogs do Google hackeados

No dia 7 de outubro, um Sábado, um post apareceu no blog official do Google. Dizia que o inovador serviço de anúncios Click-to-Call, em testes, havia sido cancelado. A blogosfera estranhou, fez algumas suposições durante o fim-de-semana, até que no domingo o post foi tirado do ar.

Este mesmo blog oficial do Google foi acidentalmente apagado em março deste ano. Um leitor, ao descobrir que o endereço do blog estava disponível, recadastrou e colocou uma mensagem no ar. Sorte do Google que esse leitor foi simpático e postou uma mensagem alertando a empresa de que algo de errado tinha acontecido com o blog deles. Logo depois o Google recuperou o backup, voltando ao ar com uma mensagem explicando o acontecido.

Essa semana novamente problemas com os blogs oficiais do Google. O Buzz Blogger, blog que fala sobre o serviço Blogger mostrou uma mensagem um tanto estranha que mais tarde, informaram, foi um engano de algum funcionário da empresa que postou, sem querer, mensagem que deveria ir para o blog pessoal desta pessoa.

Segurança da Informação

O que houve nos três casos foram falhas na política de segurança da informação do Google. A definição da segurança da informação diz, segundo a Wikipedia: “Proteger sistemas de informação contra acesso não autorizado, modificação da informação, tanto no armazenamento, processamento ou manipulação(…)”. Fica claro que houve falhas.

A missão do Google é organizar toda informação do mundo, tornando-a amplamente disponível, algo assim. E nós ajudamos ao usar o Gmail, o serviço de Buscas, os orkut, o Google Docs, o Analytics, etc… tudo faz parte de um processo maior que é descobrir hábitos das pessoas e lhes oferecer buscas e anúncios mais relevantes. O perigo está em disponibilizar essas informações para o Google e no dia seguinte descobrir que, por falha na segurança da informação, os dados tornaram-se públicos.

Apple com vírus de Windows

Alguns iPods fabricados em setembro saíram infectados com o RavMonE.exe, um vírus (na verdade um trojan) para Windows. A recomendação é usar um anti-vírus para removê-lo do PC e restaurar o iPod usando o iTunes 7. A restauração do iPod vale também para os usuários de Mac, apesar de seus computadores não serem afetados pelo problema. O motivo é que o iPod ainda contém um malware. Até o momento descobriram 25 casos… Sabemos que a Apple quer entrar na vida dos usuários de Windows. Abriram a porta errada.

Brinde do McDonalds com vírus

No Japão, uma promoção recente do McDonalds e Coca-Cola dava um mp3 player e um vírus de brinde… Foram distribuídas 10 mil unidades. Aparentemente trata-se de um trojan que rouba dados e senhas dos usuários após contaminar máquinas Windows. Eu não amo nada disso.

CDs da Sony com rootkit

Ano passado a Sony BMG distribuiu vários CDs que instalavam um software nos PCs dos usuários com a intenção de proteger contra cópias não autorizadas. Especialistas em segurança descobriram que tratava-se na verdade de um rootkit, software malicioso que consegue permanecer indetectável. Neste caso foi intencional.

Acho que aquele senhor que adorava DVD’s estava certo… Aquilo não era DRM. Era um vírus…

Botnets, as redes robôs

Destruir computadores era comum nos malwares de antigamente. Tática burra pois perdia-se um aliado. Atualmente os malwares seqüestram PCs espalhados pelo globo, transformando-os em robôs controlados remotamente. O mais incrível é a forma de comunicação entre tais máquinas zumbis. Elas entram em chats tipo IRC e ficam aguardando instruções de seus criadores.

Mas qual a utilidade de tudo isso? Bom, seguindo as ordens de seus “mestres” os PCs robôs promovem ataques conjuntos contra sites na tentativa de derrubá-los. É o chamado ataque DDoS (Distributed Denial of Service, ataque de negação de serviço distribuído) na qual um site recebe tantas solicitações que não consegue atender às chamadas legítimas, ou seja, para efeitos práticos fica fora do ar. Outra utilidade é fazer esses robôs enviarem spam, a praga dos emails.

Você pode ser um botnet e nem faz idéia

Os leitores regulares deste blog provavelmente não sofrem deste mal. Mas é mais comum do que se imagina. O Windows – sistema operacional dominante – tem uma série de falhas de segurança descoberta todo mês. A última leva de correções, do dia 10 de outubro, foi recorde: 26 problemas. Navegar por aí usando uma máquina Windows é procurar problemas, principalmente se você usa o Internet Explorer.

Estimativas mostram que há milhões de computadores zumbis, e o seu pode ser um deles, ou seja, você pode ser um spammer e estar participando de DDoS e nem sabe. Por isso listo abaixo coisas a fazer para evitar ser contaminado:

• mantenha sempre atualizado seu Windows. Toda segunda terça-feira de cada mês a Microsoft libera as correções referentes ao período de 30 dias anterior;
• use sempre um software anti-vírus, anti-spyware, e se possível, um firewall;
• não abra e-mails de desconhecidos, principalmente se vierem anexos; Aqueles assuntos interessantes como fotos do acidente da Gol ou as últimas peripécias da Cicarelli são fonte corriqueira de malwares, isso vale também para o orkut;
• evite usar o Internet Explorer 6. A versão nova está pra sair e promete ser mais segura. Existem alternativas como o Firefox;
• se você realmente ficou assustado e não quer problemas, uma dica: não use a internet;

Mais informações:

• Podcast Security Now! #47: Internet Weaponry, em inglês

Windows Vista: mais seguro

Uma das fraquezas do Windows XP é no quesito segurança. Somente após o patch SP2 é que a segurança parece ter ficado forte. Faça um teste: coloque uma máquina com o Windows XP recém instalado na internet. Não dá 5 minutos e começam a aparecer estranhas mensagens, sinal de que seu computador foi de alguma forma invadido. E você nem navegou na web. Isso não acontece com o XP SP2, ainda bem.

No Windows Vista a segurança é prioritária. Talvez isso explique os seguidos atrasos no lançamento do sistema operacional. A característica que a McAfee está reclamando é o acesso ao kernel, algo como o núcleo do sistema operacional. No Vista, a Microsoft fechou esse acesso de tal forma que complicou a vida de concorrentes. Mas faz todo sentido: a segurança aumenta.

Segurança fora de vista

Em junho deste ano a Microsoft lançou o OneCare, seu próprio serviço de segurança para o Windows. Na época as discussões giraram em torno da confiança que deveríamos dar ao OneCare, já que foi criado exatamente para proteger o Windows, ambos produtos da mesma empresa. Ou seja, você cria um produto com problemas de segurança e vende a solução para tapar os buracos. Faz sentido? Seria melhor colocar esforços em criar um Windows com menos problemas a vender separadamente uma forma de saná-los.

O medo da McAfee e outras fornecedoras de anti-vírus e firewalls, é ficar para trás no mercado de segurança. Injustificado. Sempre vai existir mercado para ela. Duvido que o Windows Vista não tenha problemas de segurança e não creio que o OneCare consiga lidar com todos eles. Ah, e dá pra confiar na segurança do Vista? Só o tempo dirá…

Skype

A mobilidade fixa

Os hotspots wi-fi (802.11b e g) possuem alcance teórico máximo de 100m de raio ao redor da antena. Na prática, com as paredes e outras influências do ambiente esse raio fica bem menor: em torno de 40 m. Chamo o wi-fi de mobilidade fixa pois o seu equipamento é móvel (notebook ou pda) mas o ponto de acesso é fixo e de tamanho limitado. Não dá pra acessar a internet via wi-fi de qualquer lugar. Você precisa se dirigir a um hotspot que , em geral, é pago e fica dentro de um estabelecimento comercial (café, restaurante, bar, universidade, hotel, aeroporto). E para “não ficar chato” você acaba consumindo algo, quase que um tipo de venda casada, afinal você já pagou por seu provedor de wi-fi (Vex ou Telefônica).

As vantagens da rede celular

Imagine dois estabelecimentos próximos que disponibilizam redes sem fio da mesma empresa, por exemplo a Vex. O sinal de um estabelecimento não é captado no interior do outro, mas na rua há um ponto em que se capta ambos os sinais. Vamos supor que você esteja no Skype em seu pda. Está em um dos estabelecimentos e resolve ir ao outro, andando. Apesar de existir uma intersecção válida entre as duas redes, sua conexão cairá. Não existe transição suave mesmo que as redes sejam fornecidas pela mesma Vex. Será necessário logar-se novamente ao chegar ao segundo estabelecimento.

Isso não ocorre em uma rede celular. Em qualquer lugar que houver sinal contínuo, será possível passear por dezenas de antenas e sua conexão com a internet não cairá. Essas redes wi-fi ainda não possuem uma tecnologia capaz de fazer essa transição suave e transparente. A solução está nas redes sem fio do tipo mesh, que já existem mas são raras.

Outra vantagem da rede celular é a ampla disponibilidade, ou seja, uma mobilidade móvel. Não é necessário encontrar o hotspot mais próximo. Não é necessário entrar em algum estabelecimento e consumir algo. A internet está disponível até no meio da rua e em qualquer lugar que tenha rede celular compatível. O problema agora seria abrir o notebook e sentar-se na calçada… (por isso leve sempre um pda no bolso!)

Segurança

O wi-fi oferecido pela Vex e Telefônica não é criptografado (rede aberta) e por este motivo, inseguro. Não há criptografia pois seria um complicador a mais para o usuário dos serviços. O tráfego de dados fica exposto. Qualquer um com o software correto consegue “ver” o que está passando pela rede. Pode capturar senhas, ler e-mails. Um atentado à privacidade. Por isso tome cuidado quando for usar wi-fi em redes abertas.

Já a rede celular é mais segura. “Invadir” o sinal para saber o que está trafegando exige muito mais trabalho. Mas mesmo assim todo cuidado é pouco. Sinais de rádio trafegam pelo ar. E o ar, todo mundo sabe, é livre… o sinal pode ser captado e desembaralhado.

Preço vs. Mobilidade

A decisão por qual tecnologia usar leva em conta o equilíbrio entre preço, mobilidade e necessidade. Uma rede celular para acesso à internet é cara mas ao mesmo tempo, ampla e segura. Uma rede wi-fi é mais barata e restrita a poucos lugares. A sua necessidade é que fará você escolher entre uma ou outra. Na dúvida, use um smartphone com wi-fi. Terá em mãos o melhor dos dois mundos e viverá conectado. Ou aguarde o WiMax.

Qual o problema do Internet Explorer? (*)

Há alguns anos, quando o IE ganhou a primeira guerra dos browsers, o seu desenvolvimento parou. Lançaram a última versão há 5 anos. Falhas e mais falhas foram descobertas mas nem todas foram corrigidas. Com sorte, as que são sanadas ficam até 30 dias em aberto (as vezes mais). Isso é tempo suficiente para crackers explorarem o problema e invadir computadores espalhados pela internet. Fora isso, muitas pessoas não atualizam o Windows quando a Microsoft divulga as correções, aumentando assim o tempo de exposição a uma vulnerabilidade. O IE 7 está para sair. Talvez melhore a situação. Mas tenho minhas dúvidas.

O Firefox também possui falhas

É verdade. Dias atrás as manchetes davam conta de que acharam 682 problemas no Firefox. Um robô analisou o código do software e encontrou essa quantidade de falhas. A comunidade (preste atenção, são seres humanos) open source analisou os problemas apontados e descobriu que efetivamente apenas 2 ou 3 talvez sejam reais.
(*) além de ser lento e não seguir as regras da w3c?

DRM é dinheiro

Na semana passada três dias após a divulgação de que alguém burlou o sistema de DRM do Windows Media, a Microsoft divulgou uma correção para o problema. Isso foi 10 vezes mais rápido que o tempo máximo do processo normal. O motivo principal para tamanha agilidade chama-se dinheiro. Nada mais natural. Protegendo o DRM garante-se que as gravadoras parceiras da Microsoft não percam vendas e lucros.

Muitas empresas não gostam de soltar correções de bugs de seus softwares pois pode ser encarado como uma admissão de que o produto que vendem possui problemas. Disso a Microsoft está livre. Falhas em seus softwares são corrigidas, mas não na freqüência ideal. Ou seja, a segurança dos usuários, que não é assim tão importante, fica para o próximo patch tuesday (*).

(*) que ocorrerá na próxima terça, 12/09.

O problema

A Microsoft e a IBM oferecem soluções corporativas de email, calendário e integração. A grande diferença de ambas para o Google, é que em geral a solução está implantada em servidores próprios das empresas que compraram o produto(*), ou seja, o controle delas sobre as informações é total. O e-mail, parte central da comunicação interna e externa da maioria das organizações, fica vulnerável se estiver em poder de terceiros. O mesmo vale para calendário, planilhas e documentos. Você confiaria seus dados ao Google?

Universidades

Aparentemente o Google é uma empresa confiável, e seus serviços fazem enorme sucesso entre usuários finais. Internamente o lema corporativo informal é Don’t be evil (não seja mal). O serviço lançado agora é uma extensão do que já existia antes (Gmail for your Domain, desde fevereiro) com a integração de outras ferramentas.

Segundo Dave Girouard, VP de negócios corporativos do Google, o Gmail já é utilizado por centenas de universidades para prover email aos seus alunos e colaboradores. Essa é uma forte indicação de que provavelmente não há o que temer em relação à segurança da informação. Resta ao Google Apps a difícil tarefa de convencer CIOs de que sua ferramente é confiável.

(*) a Microsoft possui uma suíte on-line de aplicativos chamada Windows Live.

Windows vs Mac vs Linux

Apesar da análise passional de seus respectivos usuários, não há dúvidas que o Windows é superior ao Linux e Mac OS, inclusive no número de malware. Motivos: popularizou fortemente a utilização de computadores, enquanto o Linux – uma herança Unix de geeks (afficionados em tecnologia) sem prentensões de lucro – e o Mac OS (fácil instalação de software, porém difícil de encontrar um que sirva) ficaram para trás. Gerações de empreendedores e usuários domésticos tiveram fácil acesso a computadores baratos e compatíveis. O Windows também permitiu aos empregadores diminuir custos, já que treinar pessoas para lidar com processadores de textos e planilhas eletrônicas de diferentes plataformas requer dinheiro, assim como paciência dos usuários.

Recomendações

Voltando ao assunto do nível de conhecimento dos usuários não ser importante, posso dizer que seguindo regras simples é possível reduzir de forma significativa as ameaças de vírus.

Primeiro, instale um software anti-vírus e depois, sabendo que a maioria dos vírus chegam por e-mail ou de sites suspeitos, preste atenção no que você está baixando. Há vários programas para Windows: se você está inclinado a gastar alguns trocados, McAfee e Norton são melhores que freewares (softwares gratuitos), como AVG e Panda. A propósito, usuários de Linux e Mac OS, quantos anti-vírus estão disponíveis para suas plataformas? (ok usuário Mac, que tal QUANTOS são gratuitos?). Hoje em dia não vale a pena acreditar que uma alma malvada não irá criar um vírus para seu sistema só porque você não está protegido.

Outra dica é manter seu sistema operacional sempre atualizado. E para completar, não se esqueça de checar a extensão do arquivo que você está baixando. Em geral, se você nunca notou, a extensão é formada por aquelas três letras logo depois do ponto em um arquivo de computador.

Identifique a ameaça

Não faça download de arquivos anexados ao email (nem mesmo se vierem de sua mamãe!) que tenham as seguintes extensões: .EXE, .COM, .BAT, .VBS, .CMD. Elas representam arquivos executáveis, o que significa que podem ser maliciosos. No caso da web, baixe estes tipos de arquivos apenas de sites confiáveis, ou seja, tenha cuidado com sites pornográficos e sempre verifique o endereço da web.

Bom, você recebeu um arquivo de seu amigo por email. Na maioria das vezes, a única decisão racional que você precisa tomar é se o anexo é uma música, um texto, foto ou vídeo. Isso é fácil:

• músicas: mp3, wma, mid, aac, ogg
• texto: doc (cuidado com vírus de macro), pdf, txt, asc
• fotos: jpg, gif, png, bmp, tif
• vídeo: avi, mpg, mov

Estes tipos de arquivo você pode baixar sem se preocupar, considerando que não há como eles enviarem instruções para o processador de seu computador(*).

(*) A vulnerabilidade Windows Metafile descoberta no final de 2005 permitia a uma imagem (extensão .wmf) executar código malicioso no seu computador rodando Windows, mas isso é assunto para outro post.

ORIGINAL VERSION in ENGLISH

A security matter

A common thought nowadays is that Linux is better than Windows regarding virus threats. Indeed, MacOS users claim the same, pointing out two main causes: the number of Windows viruses – surely much higher – and the level of knowledge of their users. I totally agree with the first argument, since the absolutely majority of people use Windows-based PCs. However, is the level of their users really important?

Windows vs Mac vs Linux

Windows is by no means inferior to Linux and MacOS about viral infection, despite the passion of their respective users. It also popularized enormously computer utilization, while Linux – a Unix heritage of computer geeks with no desire to make a profit – and MacOS (easy to install a software, but hard to find one) were put far behind. Generations of both home users and entrepreneurs were able to have easier access to cheaper and compatible computers. Windows permitted employers to decrease their costs as well, since training people, for instance to deal with a word processor or a spreadsheet program designed for different platforms, requires money as well as patience by the user.

Recommendations

Back on the issue of why the level of users is not important, I can say that by following simple instructions, it is possible to significantly reduce virus threats.

First, install any antivirus software, and second, since most virus are downloaded either by email or from malicious sites, pay attention to what you’re downloading. There are several programs for Windows: if you’re willing to spend some money, McAfee and Norton are better than freewares, like AVG and Panda. By the way, Linux and MacOS users, how many antiviruses are available? (ok MacOS users, what about how MANY are free?). It doesn’t pay these days to believe that some evil soul will not make a virus for your system just because you’re not protected.

Furthermore, don’t forget to check the file extension when you’re downloading a file. File extension is generally the three letters after the last dot of a computer file.

Threat identification

Do not download files from email (not even from your mamma!) that contain the file extension: .EXE, .COM, .BAT, VBS, CMD. These are all executable files, which means that they might be malicious. In the case of websites, download them only from trusted websites, i.e., be careful with x-rated sites and always check the web address.

Now, you’ve got a file from your friend by email. Most of times, the only reasonable decision to make is to decide if it’s a song, text, picture or video. Here it goes:

• Songs: mp3, wma, mid, aac, ogg
• Text: doc (but beware of macro viruses),pdf , txt, asc
• Pictures: jpg ,gif ,png ,bmp ,tif
• Video: avi, mpg, mov

You can download them without being worried, considering that these files cannot send any instructions to your computer processor.

That’s all folks,

Marco Arribas

Publicado sob autorização do autor.