Arquivo da tag: segurança

Notícias

Cinco motivos para o sucesso do Windows 7

Deixe um comentário

O que exatamente tem sustentado o sucesso do Windows 7?

1 – Gerenciamento

Com suporte integrado para PowerShell 2.0, o Windows 7 fornece uma infraestrutura superior para administradores de TI, permitindo a automação de tarefas comuns e uma gestão mais eficiente de desktops.

2 – Resolução de problemas

Para alguns administradores de TI, ajudar usuários a identificar e resolver problemas toma boa parte do tempo e atrapalha o desenvolvimento de tarefas que poderiam melhorar a rede para todo mundo. A resolução remota de problemas, então, é campeã em dificuldade, pois desafia a paciência tanto do usuário quanto do técnico em TI.

O Windows 7 oferece Troubleshooting Packs que, aplicados às questões mais comuns, permitem aos usuários conduzir suas próprias investigações rumo à solução. Os administradores de TI também podem criar Troubleshooting Packs personalizados para problemas recorrentes ou aplicativos internos.

Para resolução remota, o Windows 7 tem o recurso Problem Steps Recorder. Ele permite a gravação de telas que ilustram, clique por clique, os passos que parecem ser a causa do problema. A capacidade de dar replay no cenário do problema facilita bastante o trabalho dos técnicos remotos, que podem se concentrar em identificar e resolver o problema.

3 – Segurança

O Windows XP – que é de longe o sistema operacional mais utilizado – fica bem atrás do Windows 7 no que diz respeito a controles de segurança. O Windows 7 tem controles de segurança – como ASLR (address space layout randomization), DEP (data execution prevention), UAC (user account control) e PMIE (Protected Mode IE) – que não existem no Windows XP.

O Windows 7 também tem o AppLocker, que deixa os administradores de TI definirem políticas restringindo que aplicações ou scripts podem rodar no PC. O controle de qual software pode rodar em um desktop melhora a segurança e simplifica o gerenciamento do sistema. O BitLocker e o BitLocker to Go permitem a esses administradores assegurarem-se de que os dados sensíveis estarão protegidos por criptografia, e podem ser facilmente gerenciados via Group Policy.

4 – Não é o Vista

A reputação do Vista é mais uma falha de marketing da Microsoft que o resultado de qualquer problema real com o sistema. O Windows 7 não é o “Windows Vista R2”, como alguns sugeriram, mas ele tem muitos dos mesmos elementos-chave que existem no Vista.

O lançamento do Windows Vista foi prejudicado por uma ausência de drivers e suporte de fornecedores – algo que a Microsoft deveria ter combatido de forma proativa desde o primeiro instante, antes de lançar o sistema no mercado. No entanto, muitas outras questões do Windows Vista foram de fato recursos não compreendidos, que a Microsoft deixou serem utilizados por competidores como a Apple para atacar o Vista em seu marketing.

5 – Suporte Longa Vida

Apesar de o Windows 7 ter superado o Vista, o Windows XP ainda tem mais que duas vezes a fatia de mercado das participações somadas do Windows 7 com o Vista. Mas a empresa não oferece mais apoio ao Windows XP SP2, nem a sistemas mais antigos, como o Windows 2000.

O Windows XP foi um sucesso fenomenal. A familiaridade e o nível de conforto do Windows XP, combinados com orçamentos mais apertados e o lançamento micado do Windows Vista, contribuíram para a extensão do sucesso deste velho sistema.

No entanto, agora que o Windows 7 está no mercado, muitas empresas buscam finalmente atualizar seu parque de hardware e atualizar o sistema operacional, para estar em dia com a nova década e tirar vantagem dos benefícios listados aqui – e aproveitar as tecnologias de software e hardware que simplesmente podem não funcionar com o Windows XP.

Tecnologia

10 motivos para sua empresa largar o Windows e abraçar o Linux

32 Comentários

Agora é uma hora particularmente boa para largar o Windows, tanto nas estações de trabalho como em servidores. Um exemplo: agora que a Microsoft parou de oferecer suporte para versões mais antigas do Windows em 13 de julho do ano passado, você vai precisar de algo diferente para usar em seus servidores.  Esteja você mudando do Windows Server 2003 para o 2008 ou para um servidor Linux – ou trocando o cansado Windows Vista dos desktops pelo alienígena Windows 7 ou algo mais amigável – o Linux lhe dá liberdade e, principalmente, liberdade de escolha.

Você pode acreditar que deixar o Windows e migrar para o Linux é algo difícil, mas a mudança no modo de pensar e a percepção dessa mudança são o que há de mais difícil. Se você já tentou atualizar o Windows XP para o Windows 7, então sabe o que é dor.

Os empresários descobriram que o Linux, que uma dia já foi um sistema operacional de “nicho”, fornece os componentes e os serviços necessários nos quais muitos se apoiam. O Linux continua sua penetração nos maiores data centers do mundo e em centenas de milhares de desktops individuais, e domina quase 100% da indústria de serviços para a nuvem. Por tudo isso, vale a pena dedicar algum tempo para descobrir o Linux e usá-lo em sua empresa. Aqui estão dez razões para que você dê uma segunda olhada no Linux.

1 – Suporte comercial

No passado, as empresas usavam a ausência de suporte comercial como a principal razão para agarrarem-se ao Windows. As “três grandes” provedoras de Linux comercial – Red Hat, Novell e Canonical – puseram esse medo a nocaute. Cada uma dessas empresas oferece suporte 24x7x365 para suas aplicações de missão crítica e serviços de negócio.

2 – Suporte a .NET

As empresas que padronizaram seu desenvolvimento com tecnologia Microsoft, especificamente com sua tecnologia web .NET, podem confiar no Linux para obter suporte às mesmas aplicações .NET. A Novell é a dona e apoia o projeto Mono, que oferece compatibilidade com .NET. Um dos objetivos do projeto Mono é oferecer às empresas a capacidade de escolha e de resistir à imposição de um único fornecedor. Além disso, o projeto Mono oferece plugins Visual Studio para que os desenvolvedores .NET possam transferir facilmente aplicações .NET baseadas em Windows sem mudar suas ferramentas de desenvolvimento familiares. Por que a Novell e outras empresas iriam querer criar um ambiente .NET para Linux? Para a estabilidade real de aplicações .NET, o Linux é uma escolha melhor que o Windows.

3 – Disponibilidade online

A estabilidade do Linux oferece aos donos de empresas a paz de espírito de que suas aplicações não sofrerão panes muito longas causadas por instabilidade do sistema operacional. O Linux oferece os mesmos níveis de disponibilidade (geralmente medidos em anos) que seus primos Unix. Esta estabilidade significa que o Linux pode suportar as exigências de serviços “99,999% disponíveis”. Reboots após cada correção de software, Service Packs e alterações de drivers fazem do Windows uma escolha instável e não confiável para aqueles que precisam suporte ininterrupto para suas aplicações e serviços críticos.

4 – Segurança

Nenhum sistema operacional é 100% seguro – e o Linux não é exceção. Mas o Linux oferece segurança excelente a seus usuários. Das atualizações regulares do kernel a uma lista quase diária de atualizações de segurança, os mantenedores do código mantêm os sistemas Linux bastante seguros. Os donos de empresas que se apoiam em sistemas Linux com suporte comercial terão acesso a todas as correções de segurança disponíveis. Com Linux, você tem uma comunidade mundial de provedores de correções de segurança, e não uma única empresa com código fonte fechado. Você está completamente dependente da resposta de uma só empresa para lhe fornecer correções de segurança quando usa Windows.

5 – Aproveitamento de habilidades

Uma barreira à adoção do Linux foi a ideia que ele não é tanto como o Unix, e por conta disso os administradores deste último não poderiam usar com sucesso seus conhecimentos ao fazer a mudança para o Linux. O layout do sistema de arquivos do Linux parece como qualquer outra versão comercial do Unix. O Linux também usa um conjunto padrão de comandos Unix. Há alguns comandos Linux que não se aplicam ao Unix, mas isso também ocorre entre as diversas versões do Unix.

Os administradores Windows podem descobrir que o uso de um teclado em vez de um mouse é uma parte difícil da transição, mas uma vez que eles descubram o poder da linha de comando, eles nunca mais irão querer dar cliques. Não se preocupe com aqueles que não largam uma interface gráfica: o Linux tem diversos gerenciadores de desktops para escolher – e não apenas um.

6 – Hardware de mercado

Os empresários vão gostar do fato de que seus sistemas “ultrapassados” ainda rodarão Linux – e bem. Felizmente para quem adota o Linux, não há aquela loucura de atualização de hardware que segue toda nova versão do software recém-lançado. O Linux roda em x86 com arquiteturas de 32 e 64 bits. Se seu sistema roda Windows, ele rodará Linux.

7 – Linux é grátis

Você pode ter ouvido que o Linux é grátis (free, em inglês). O Linux não custa nada, e também é livre no sentido que também é livre de patentes e de outras restrições que impediriam empreendedores mais criativos de editar e melhorar o código fonte. Essa habilidade de inovar com Linux tem ajudado a criar empresas como a Google, que aproveitaram essa oportunidade e a converteram em grandes negócios. O Linux é grátis e livre, no sentido de liberdade.

8 – Comunidade mundial

O Linux tem o apoio de uma comunidade global de desenvolvedores que contribuem com o código fonte, atualizações de segurança e melhorias no sistema. Esta comunidade ativa também fornece às empresas o suporte gratuito por meio de fóruns e sites. Esta comunidade dispersa pelo mundo dá paz de espírito aos usuários de Linux, porque não há um ponto único de falha nem uma fonte única para suporte e desenvolvimento Linux.

9 – Linux Foundation

A Linux Foundation é um coletivo corporativo de patrocinadores Platinum (Fujitsu, Hitachi, HP, IBM, Intel, NEC, Novell e Oracle) e membros que, por meio de doações e contribuições associativas, patrocinam Linus Torvalds e outros que trabalham em tempo integral no Linux. Seu propósito é “promover, proteger e padronizar o Linux para abastecer seu crescimento pelo mundo”. É a fonte primária para todas as coisas Linux. A Linux Foundation é uma grande adição aos usuários e entusiastas do Linux porque sua existência assegura o desenvolvimento contínuo do sistema.

10 – Atualizações regulares

Você está cansado de esperar por um Service Pack do Windows a cada 18 meses? Cansado das dificuldades de atualizar seus sistemas Windows de tempos em tempos porque não há uma rota clara de upgrade? O Ubuntu Linux oferece versões novas e melhoradas a cada seis meses e versões de suporte de longo prazo a cada dois anos. Toda distribuição Linux oferece atualizações regulares de seus pacotes e fontes diversas vezes por ano e atualizações de segurança sempre que necessárias. Você pode deixar qualquer angústia de upgrade para sua cópia oficial licenciada do Windows porque é fácil atualizar o Linux e migrar de uma versão para outra, mais nova. A melhor parte: o Linux não exige reboot.

Se você quiser dar uma olhada no Linux, aqui estão diversas distribuições que podem ser baixadas gratuitamente. Seu uso também não exige qualquer contrato de suporte comercial.

CentOS – distribuição livre do Red Hat Enterprise Linux

Ubuntu – distribuição livre corporativa (suporte comercial disponível)

Fedora – O projeto Fedora é a versão livre e suportada pela comunidade do Red Hat Linux

OpenSUSE – versão livre e suportada pela comunidade do SUSE Linux da Novell

Debian – distribuição-pai de muitas distribuições Linux, incluindo Ubuntu e Linux Mint.

Você pode encontrar informação sobre a migração do Windows para Linux por meio da Linux Foundation ou de quaisquer de seus patrocinadores Platinum. Quando se trata de aumentar sua eficiência, economizar dinheiro e oferecer serviços ininterruptos para seu negócio e seus clientes, de quantas razões você precisa?

Informática

Proteja-se dos perigos da web com estas dicas de segurança

Deixe um comentário

Você sabe muitíssimo bem que deve manter o antivírus atualizado para fugir dos trojans, e não é ingênuo o suficiente para baixar qualquer aplicativo de sites desconhecidos, certo?

Mesmo tomando conta dos quesitos básicos, a sensação de insegurança ainda é forte em você. O que fazer? Seguem algumas dicas avançadas de segurança para você se proteger dos ataques mais comuns da atualidade.

Mas lembre-se: segurança é escambo. Ao adotar algumas dessas medidas, esteja pronto para enfrentar algumas inconveniências. Só que o computador é seu, assim como a escolha.

Scripts

Uma dica que deve manter a maioria dos leitores protegida na web: não execute JavaScript em paginas que não conhece.

O JavaScript é bastante popular, e motivos para isso não faltam. Roda em praticamente todos os browsers e transforma a web em algo muito mais dinâmico. Só que ao mesmo tempo o JavaScript pode seduzir o browser e obrigá-lo a executar algo que pode não ser seguro – algo malicioso.

As instruções maliciosas podem desde carregar um elemento hospedado em outra página até tornar viáveis ataques conhecidos por cross-site, que dão ao criminoso a habilidade de se fazer passar por outra pessoa em sites legítimos.

Os ataques JavaScript estão por toda parte. Se você é observador do Facebook, deve ter visto o mais recente deles. Os scammers têm configurado páginas legítimas na rede social e oferecem bônus de 500 dólares para quem copiar e colar determinado código na barra de navegação do browser.

O código em questão é um script em Java e jamais deve ser adicionado ao navegador. O truque é usado para incluir dados em pesquisas não autorizadas, entupir o perfil das redes sociais com spam e até mesmo enviar páginas danosas para o usuário. As explicações foram dadas por um especialista de segurança, Chris Boyd, que integra a equipe de pesquisas na empresa Sunbelt Software.

Os mal intencionados podem recorrer a outras técnicas e inserir códigos JavaScript em páginas invadidas ou maliciosas. Para contornar esse problema, você pode usar um plug-in para Firefox chamado NoScript, que permite controlar quais websites podem ou não executar instruções JavaScript no browser. Com o NoScript, antivírus de qualidade duvidosa e ataques online não vão mais explodir na cara do internauta quando este acessa novos sites.

Drive-by e cross-site

O negócio é negar toda execução de scripts para, depois, criar uma lista de sites confiáveis. Dessa maneira, você ficará passando longe dos chamados drive-by attacks, praga comum atualmente na web.

O NoScript também vem com um bloqueador de cross-site scripting. Esse tipo de script já existe há algum tempo, mas ultimamente os criminosos o tem usado cada vez mais para tomar controle de contas em sites como Facebook e YouTube.

Caso o navegador-padrão de seu computador não seja o Firefox e você não tenha intenção em instalar o browser da Mozilla, pode usar a opção nativa do Chrome, desabilitar a execução de JavaScript e depois criar uma lista de sites confiáveis.

Infelizmente não existe um equivalente ao NoScript para as plataformas IE e Safari. Aos usuários do Internet Explorer fica a opção de configurar as zonas de Internet de maneira a serem consultados cada vez que um script tenta acessar o browser. Na versão 8 do IE foi adicionada uma proteção ao cross-site scripting capaz de deter alguns ataques desse tipo.

Adobe Reader

Outra alternativa interessante é desabilitar a execução de JavaScript no Adobe Reader. De acordo com a Symantec, quase a metade de todos os ataques via web de 2009 deu-se com base em arquivos .pdf maliciosos. Se as vítimas tivessem desabilitado a execução desses scripts, teriam passado ao largo desses ataques.

É fácil desabilitar o script no ambiente do Reader. Basta acionar o menu Editar -> Prefererências -> Java Script e desmarcar a janela que cita o recurso.

Como mencionado acima, a desvantagem nessas configurações é que são pouco convenientes. Desabilitar a execução de JavaScript nos browsers impede a exibição correta de vários conteúdos, como animações, filmes e páginas dinâmicas. Muitos usuários, cansados das intermináveis tentativas de abrir alguns sites e sem conseguir ver o conteúdo, acabam permitindo a execução dos scripts nessas páginas.

O mesmo acontece com o Reader, em que alguns formulários preenchidos na web podem não ser transmitidos de maneira correta sem o JavaScript; em todo caso, muitos não se importam de ter de alterar as configurações de JavaScript no Reader quando necessário e voltar para o normal depois disso.

Fuja dos antivírus falsos

Muitas pessoas têm passado por essa experiência ultimamente: visitam em uma página web completamente legítima quando, do nada, um pop-up explode na tela e avisa que “seu computador está correndo risco”. O internauta fecha a janela, mas não adianta. Outras mensagens implorando para que ele faça já um exame online do contingente de arquivos na máquina continuam surgindo.

Se o visitante der a oportunidade desse programa verificar a presença de vírus na máquina, certamente esse software vai encontrar algum problema e recomendar que o internauta instale imediatamente o programa que vai salvar o sistema.

Como o software é caro, o internauta vai buscar o cartão de crédito para transferir  o dinheiro pedido pela janela de “compre já” e, ao fazê-lo, acaba enchendo os bolsos de algum criminoso. Trata-se de um antivírus falso.

Esses softwares têm sido a principal preocupação referente a segurança nos últimos anos. Aos olhos das vítimas, os pop-ups já parecem uma infecção; cada vez que tentam fechar uma janela, aparece outra em seu lugar.

O que fazer?

Primeiro: Não compre o software. É um placebo, um engodo, e é capaz de danificar o sistema. Pressione o conjunto Alt + F4 para encerrar o browser ou acione o gerenciador de tarefas e feche o aplicativo de navegação. Normalmente, encerrar o browser resolve a questão.

Também é preciso ficar atento quando se busca, na Internet, informações sobre notícias de última hora. Os bandidos da internet costumam ficar de olho no que acontece no Google Trends e nos Trending Topics do Twitter e são capazes de inserir rapidamente uma página no topo da página de resultados do site de buscas Google em questão de horas.

Apesar das tentativas da Google em barrar essas atividades, é difícil fazê-lo quando trata-se de uma história emergente e altamente procurada. “Elimine os riscos acessando apenas sites de notícias em que confia ou, pelo menos, procure por notícias no canal de notícias do buscador”, sugere Boyd.

Leitores PDF

Não fique na dependência do Word e do Adobe Reader.

Sim, os dois programas são tremendamente populares, mas não são – de longe – os mais robustos quando o assunto é segurança. Os dois aplicativos são fracos em avisar quando o arquivo que se quer abrir pode conter alguma vulnerabilidade.

Os piratas da internet têm como alvo sistemas e plataformas populares. Por isso, visam na maioria das vezes plataformas consagradas, como o Windows, e menos os sistemas alternativos como Linux e Mac.

Sair da rota e usar aplicativos menos populares é uma saída razoável para a questão. Não raramente, quem entende bastante de segurança prefere usar programas como o Foxit Reader ou o PDF Studio para visualizar o conteúdo de PDFs.

No caso de documentos do Word, PowerPoint e Excel, sua abertura pode ser feita usando-se a suíte de aplicativos OpenOffice. A desvantagem é visual: é possível que os arquivos não sejam exibidos de maneira idêntica à experimentada no ambiente original. Essa diferença elimina as chances de usar os programas alternativos no dia-a-dia. Mas para horas em que o desconfiômetro entra em alerta, é uma manobra inteligente.

Verifique antes de abrir

Por que especialistas em segurança usam leitores alternativos para PDF e .doc?

Há anos eles vêm nos alertando sobre isso: não abram arquivos de origens desconhecidas. Executáveis sem referências de origem são problema na certa, mas os hackers já descobriram maneiras de invadir as máquinas alheias usando documentos codificados de maneira danosa.

A vasta maioria desses ataques se aproveitam de falhas conhecidas em versões mais antigas de determinado software. Adicionalmente, ocorrem os ataques chamados de zero-day, ou dia zero, em português. É comum que essa onda de ataques aconteça em larga escala e se concentre em brechas recém-descobertas e ainda não solucionadas.

A melhor saída é adotar aplicativos alternativos para abrir os documentos. Se essa não for uma solução viável, há outras.

Deixe a Google fazer o trabalho por você. Encaminhe os arquivos para contas do Gmail e permita que o serviços escaneie o conteúdo. Depois disso, pode converter o arquivo e abri-lo no Google Docs para verificar a autenticidade.

Se quiser, pode submeter os arquivos à varredura online do VirusTotal. Ele examina os documentos com base em 41 motores de antivírus diferentes – se algo for encontrado, você saberá.

Brecha da desatualização

A versão do RealPlayer que você baixou há vários anos pode ser uma lacuna monstruosa no esquema de segurança do PC. Aliás, se não anda usando o player, melhor desinstalar. Faça o mesmo com toda a lista de softwares que andam ociosos em seu PC.

Do ponto de vista da segurança, qualquer software largamente utilizado oferece aos hackers de plantão a plataforma ideal para invasões e quebras de barreiras de segurança. Uma ferramenta útil é a do site Secunia Online Software Inspector, que rastreia e identifica software desatualizado em seu PC.

Mas não pare por aí. A Mozilla criou uma página de serviços que verifica se os plugins que estão instalados na máquina – inclusive pertencentes a outros browsers (IE, Opera, Firefox e Chrome) – devem ser atualizados.

Vale a pena verificar se os aplicativos que instalou no Facebook não estão inchando demais seu perfil. Conecte-se ao site, clique em Conta -> Configuração de aplicativos e veja quais aplicativos você tem instalados. Não usa? Apague.

Guardião de senhas

O tempo todo nós temos de lembrar de um sem-número de senhas na web. Isso não é novidade, mas a maioria de nós contorna essa circunstância usando senhas e nomes de usuário padrão.

Isto é de conhecimento dos hackers, que usam essa informação contra você com água na boca. É comum eles furtarem um nome de usuário e uma senha de acesso e tentar aplicar em contas do Facebook, Gmail, PayPal e Yahoo!.

Ainda bem que existem vários aplicativos para dar conta da tarefa de gerir as 20 senhas diferentes que são pedidas cada vez que você quer enviar um email, fazer uma compra ou simplesmente fofocar.

O KeePass Password Safe é um desses programas que guardam as senhas para você. Eles demandam um pouco mais de trabalho por sua parte, pois exigem que você fique alternando entre a janela do navegador e a interface do gerenciador de senhas. Mas, como tudo na vida, é uma questão de equilíbrio entre custo e benefício.

Usuários do Firefox podem usar o aplicativo KeeFox plug-in, que integra o gerenciamento de senhas do KeePass ao navegador.

Informática

Dicas para garantir a segurança do acesso remoto na empresa

Deixe um comentário

Login remoto e mobilidade são alguns dos avanços trazidos pela tecnologia. A finalidade desses recursos, porém, deve se dar em torno dos negócios. Na medida em que pequenas e médias empresas se encantam pelas facilidades e buscam nelas uma fonte de vitaminas que as cure da longa gripe da crise, as mídias sociais e as formas de acesso à distância fazem parte das peças centrais no tabuleiro das companhias. Possibilitar aos empregados o acesso remoto pode ajudar as empresas a alcançar os objetivos, agiliza o atendimento ao consumidor e acelera a dinâmica do modelo de negócios.

Importante ressaltar que aumentar a mobilidade implica em aumentar os riscos à segurança dos sistemas informatizados, aos dados e à saúde da empresa em geral. É sabido, por exemplo, que o crescente uso das redes sociais e de compartilhamento de conteúdo na web carrega o uso do sinal de conexão e expõem a rede a pragas virtuais e vírus. Usar esses canais com notebooks ou outros dispositivos portáteis só faz aumentar o perigo.

Essa tendência desafia as pequenas e médias corporações a monitorar o acesso à rede e o tráfego de dados, os sistemas operacionais dos dispositivos usados nesses acessos e a criar um ambiente controlado e, ao mesmo tempo, descomplicado. O principal motivo para as empresas restringirem o acesso via dispositivos móveis ou permitir esse recurso apenas aos funcionários selecionados é a segurança, ou melhor, a falta desta.

Sem dúvida, a decisão de escancarar o acesso à rede para dispositivos móveis sempre traz riscos embutidos. Sem as devidas medidas de segurança resta às organizações rezar para que não ocorram furtos de dados, abuso da estrutura da rede, infestações de vírus, de trojans e outras mazelas endêmicas de rede. Listamos seis vacinas importantes no aumento da imunidade do sistema de dados das empresas contra ataques móveis.

1 – Blindar a VPN
Decidir usar uma VPN para os acessos requer um estudo cuidadoso das informações que a organização quer partilhar nessa modalidade de acesso. Caso pretenda executar a transferência de dados confidenciais, o conselho é desconfiar das opções de VPN pré-instaladas.

Apesar de vários sistemas operacionais disponibilizarem protocolos VPN padrão, é comum basearem a autenticação dos usuários em login e senha simples e dispensarem autenticações robustas e elementos de criptografia, deixando as portas abertas para a ação de hackers e outros invasores, como os bots e vírus.

Uma sugestão para incrementar a segurança nos acessos VPN é direcionar todo o tráfego IP para passar pelo túnel VPN e garantir apenas acessos seletivos. Um esquema de várias camadas é a melhor opção. Mas nenhuma VPN que pretenda ser sofisticada e usada para a comunicação de aplicativos críticos e de dados vitais poderá abrir mão de ferramentas adicionais para autenticação e criptografia de dados.

2 – Blindar os dispositivos móveis
Usuários com acesso a notebooks e a smartphones requerem estratégias de segurança. Nesse elenco de estratégias entram a combinação de senhas, uso de firewalls, criptografia parcial ou integral de discos rígidos e o uso – absolutamente indispensável – de softwares atualizados de antivírus e antispam. A maioria dessas alternativas pode ser implantada de maneira franca e transparente, e irá ajudar no combate às invasões e à perda de dados.

3 – Senhas e criptografia
Certifique-se de todos os dispositivos móveis estarem protegidos por senha e por criptografia. Se possível, implemente um esquema de geração de senhas válidas para uma única sessão. Caso o pacote contendo essa senha seja sequestrado, ele permitirá o acesso por apenas uma única vez.

Altamente recomendável é instruir os funcionários a criar senhas robustas e a abolir o uso das palavras “senha” e “12345” nos dispositivos. Senhas que se prezem são compostas por uma combinação de caracteres alfanuméricos maiúsculos e minúsculos.

4 – Defina políticas para acesso com dispositivos móveis
Admitir que a maioria dos usuários não presta muita atenção para a segurança até que ocorra um desastre é o primeiro passo em direção à erradicação dos riscos. Logo, o aconselhável é realizar treinamentos e colocar os funcionários a par do perigo que correm quando menos desconfiam.

Sessões de capacitação para o uso adequado de smartphones e correlatos é, juntamente com a constante lembrança de manterem-se às regras estabelecidas, um excelente remédio.

Para finalizar, seguem duas dicas que você não vai querer aprender da maneira mais difícil, acredite.

5 – Mantenha o rebanho de dados confidenciais no cercado
Os casos de furtos e roubos de dispositivos móveis tem aumentado radicalmente. A maioria contém dados pessoais e alguns de ordem estritamente confidencial. Boa parte dos casos de extravio comprometem dados privados e números de cartão de crédito, de acesso e mais. Em 2010 um notebook contendo dados médicos de 12,5 mil pacientes foi roubado de dentro de uma residência na Flórida, EUA.

Esses casos não são exatamente novidade e trazem uma importante dica: dados preciosos precisam ser submetidos a esquemas de segurança que envolvam criptografia de várias camadas. Mesmo que o notebook vá parar indevidamente na mão de alguém, a leitura dos dados deve ser dificultada ao máximo.

Se a companhia não puder garantir a segurança dos dispositivos móveis, ela deverá impedir que eles cheguem ao sistema de arquivos dos notebooks e smartphones, ficando no servidor da corporação, em um lugar bem seguro. Configure os sistemas para autenticação de acesso seguro, mesmo a partir de locais remotos, aproveite e impeça que sejam realizados downloads.

6 – Cuidado com os e-mails
Esse assunto já foi discutido à exaustão. Mesmo assim, nunca é suficiente. Boa parte dos riscos do uso de dispositivos móveis advém dos próprios usuários. Isso inclui o acesso aos emails particulares. Sendo assim, cabe a eles tratar o assunto de segurança dos laptops e iPhones como se fosse um problema particular.

Instrua os funcionários sobre métodos de se prevenir contra vírus e outros softwares danosos que podem estar escondidos em mensagens de email com anexos. Certifique-se que cada um dos empregados esteja alertado sobre a execução de arquivos desconhecidos. Concluindo, não permita que saiam abrindo todo e qualquer anexo de origem suspeita.

Tecnologia

Como manter a segurança em redes Wi-Fi

Deixe um comentário

Após a Google noticiar publicamente que recolheu, por “acidente”, informações de redes Wi-Fi, quem se acha expert em tecnologia pode estar tentado a zombar dos “ingênuos” que usam redes sem fio desprotegidas. Na verdade, provavelmente, é até justo dizer que as vítimas deveriam ter mais conhecimento sobre o uso de uma rede wireless, no entanto não fique muito convencido disso. Afinal de contas, talvez você não seja tão experiente como pensa.

Você já usou um acesso público Wi-Fi, talvez, para disparar um e-mail rápido ou alguma outra tarefa relacionada ao trabalho. Mas você se preocupou em tomar todas as precauções de segurança? Muito provavelmente, a resposta é “não”, mesmo que você saiba os riscos.

No entanto, mesmo que você esteja trabalhando de um cofee-shop com rede Wi-Fi protegida, ainda assim você não está seguro. Por quê? Porque outros internautas também estão usando a mesma rede e senha que você. Se quiserem, eles podem acompanhar todo o seu tráfego na web.

Dicas rápidas

Para impedir terceiros de acessar o seu e-mail, use um serviço que tenha HTTPS (uma conexão criptografada). Isto é importante porque quase todos os sistemas de Webmail, com exceção do Gmail e, provavelmente, o seu email do trabalho, usam HTTPS somente para logins, uma prática que prejudica a segurança.

Se sua empresa fornece uma rede virtual privada (VPN), certifique-se de que ela está em uso enquanto você acessa uma rede Wi-Fi pública.

Ainda assim, mesmo com essas precauções, você nunca está 100% seguro.

Uma recente pesquisa universitária mostrou que espiões, em breve, serão capazes de usar um programa de malware chamado “bugbot” para “sequestrar o seu celular” e ouvir as suas conversas com o uso de um notebook ou um telefone celular nas proximidades. No entanto o uso de malwares em celulares ainda é relativamente raro, mas está crescendo rapidamente.

Informática

Saiba como navegar com segurança em 10 passos

Deixe um comentário

Quem teria pensado que uma copiadora digital não era segura? E você sabia que as novas tecnologias tornam mais fácil do que nunca seguir seu rastro online? Manter seguro online costumava ser simples: use um software antivírus. Não mais. Há toda uma nova geração de ameaças à sua segurança e privacidade online. Vamos ver alguns dos mais recentes truques que os cibercriminosos desenvolveram, e 10 dicas para te ajudar a escapar dessas armadilhas.

Você não vai (ou pelo menos espero que não) atirar seus extratos bancários na lixeira sem rasgá-los. Mas se você jogar fora multifuncionais top de linha, sem retirar o disco rígido, está pedindo para ter problemas, diz Kevin Brown, gerente de testes no ICSA Labs, que testa produtos de segurança. Isso porque algumas copiadoras digitais e impressoras mantêm cópias de tudo o que produzimos em um disco rígido ou um módulo de memória flash. Se alguém encontrar esse dispositivo, não é difícil os ler.

Sim, isso soa muito forçado. Mas a Comissão Federal de Comunicações está preocupada o suficiente para investigar este problema, e alguns fabricantes de copiadoras estão dando um software que irá ajudá-lo a limpar um drive. E lembre-se: simplesmente apagar arquivos não faz desaparecer as informações. Ele apenas as torna mais difícil de encontrar.

Há outra ameaça relacionada às copiadoras também. Se você copiar coisas pessoais no trabalho (e quem já não fez isso) é simples para um administrador ver o que você xerocou, se a máquina está em rede. Além do mais, as senhas padrão para copiadoras em rede podem ser encontrada na internet, diz Brown.

Dica 1: Certifique-se de remover e limpar os HDs da impressora/copiadora antes de livrar-se delas.

Dica 2: Não copie nada pessoal em uma copiadora em rede de seu escritório que você não queira que o patrão veja.

Derrote os cookies Flash e os “supercookies”

Vários navegadores lhe dão a opção de selecionar uma opção de privacidade que supostamente permite navegar na Web sem deixar impressões digitais. Não acredite nisso.

Essa opção geralmente faz com que o navegador pare de armazenar as URLs das páginas que você visitou. Mas ele não faz nada para esconder as páginas e imagens que você viu de anunciantes que desejam veicular anúncios sob medida para você, ou pior ainda, de bisbilhoteiros como detetives privados e agentes da lei.

A solução antiga, apagar os cookies ou clicar em uma configuração que impede seu navegador de aceitá-los, é muito menos eficaz do que costumava ser. Isso porque muitos sites estão usando agora uma coisa chamada “Flash cookie”, que é mantido pelo plugin Adobe Flash por causa dos aplicativos Flash embutidos em páginas da Web, diz Peter Eckersley, pesquisador da Electronic Frontier Foundation.

Ao contrário dos cookies normais, os Flash cookies e uma variação conhecida como supercookie são armazenados fora do controle do navegador e os usuários não podem vê-los ou excluí-los diretamente, e eles nunca expiram. Eles podem rastrear os usuários de todas as formas que os cookies HTTP tradicionalmente fazem, e podem ser armazenados ou recuperados quando um usuário acessa uma página que contém um aplicativo Flash, diz Eckersley.

Há não muito tempo, o pior que podia acontecer é que você fosse rastreado e visse anúncios veiculados com base em seus hábitos de navegação, ou talvez tivesse o azar de alguém abrir seu navegador quando você estava longe do computador e visse um anúncio mostrando o que você estava fazendo online.

Agora, porém, parece que as informações que usuários dão voluntariamente para as redes sociais, além dos dados recolhidos pela nova geração de cookies, podem ser colocados juntos para realmente identificar um indivíduo. “Sites de redes sociais como Facebook, LinkedIn e MySpace estão dando à nuvem de empresas com fome de monitoramento uma maneira fácil de adicionar o seu nome, listas de amigos, e outras informações aos registros que já mantêm de você”, diz Eckersley.

Dica 3: Se você usa o Firefox, um add-on chamado BetterPrivacy que acaba com os Flash cookies. É gratuito e você pode encontrá-lo aqui.

Dica 4: Escolha uma boa política de cookies para seu navegador, como “mantenha os cookies apenas até eu fechar meu browser”, ou os aprove manualmente.

Dica 5: Use as extensões para Firefox RequestPolicy e NoScript para controlar quando sites de terceiros podem incluir conteúdo em suas páginas ou executar código no seu navegador, respectivamente. Estas ferramentas são muito eficazes, mas esteja ciente, diz Eckersley, que são difíceis de usar: muitos sites que dependem de JavaScript terão de ser colocados como exceção antes que funcionem corretamente.

Dica 6: Use o plugin Targeted Advertising Cookie Opt-Out. Ele automaticamente excluirá você de rastreadores que peçam para aceitar um cookie. Esteja ciente de que nem todos irão oferecer a opção de exclusão (opt out), ou que alguns podem interpretar isso como “não me mostre anúncios segmentados”, em vez de “não espione meu comportamento online”.

Armadilhas de privacidade no Facebook

Um inteligente, e muito paciente repórter do New York Times recentemente descobriu que o Facebook tem mais de 50 botões de privacidade, levando a mais de 170 escolhas. Não posso guiá-lo através desse labirinto, mas há uma série de medidas de senso comum que você pode tomar para minimizar os danos se você não apertar o botão certo.

Dica 7: Nunca aceite um convite de app de alguém que você não conhece. E se o software parecer suspeito, verifique-o usando a busca do Facebook.

Dica 8: Não se esqueça de que, quando alguém tem a sua data de nascimento completa (dia, mês, ano), está a apenas algumas etapas de ter informação suficiente para fazer alguns danos sérios, tais como hackear sua conta bancária. Então, seja inteligente. Não inclua esses dados em seu perfil.

Dica 9: Pela mesma razão, remova seu endereço de casa e número de telefone do seu perfil.

Dica 10: Pode parecer mau, mas classifique as pessoas de acordo com o quão bem você as conhece e confia. Coloque-as em grupos. As que melhor você conhece, mais podem ter acesso aos dados de sua página.

Informática

Seis mitos sobre segurança no computador e a verdade sobre eles

Deixe um comentário

Uma rápida olhada para os dez anos de vida do Windows XP e sua longa história de bugs e correções nos faz pensar imediatamente em duas questões: Como pode a indústria de software falhar tanto ao entregar aplicações seguras aos usuários? Será que ainda está longe o dia em que, para se usar um computador, não será mais preciso ser um expert em segurança?

Ao que parece, a mensagem clássica da indústria de segurança é sempre algo parecido como “você deveria saber que não poderia clicar neste link”, ou “como pôde acreditar que aquela mensagem realmente veio de sua mãe?”.

Para alguns usuários de computador é incrível acreditar que ainda existam tantos usuários vítimas dos mesmos golpes (ainda que ligeiramente diferentes). Mas o que é que os desenvolvedores de sistemas de segurança têm feito para ajudar realmente estas pessoas?

Veja abaixo seis situações corriqueiras, a percepção comum que os usuários têm a respeito delas, e como os especialistas em segurança lidam com o assunto.

Se um e-mail parece autêntico, então ele é seguro

Ao que parece, os desenvolvedores de sistemas de segurança acreditam mesmo que todos os usuários são tão inteligentes quanto eles. Afinal, mensagens spam, ataques phishing e todo tipo de malware têm existido há anos. Se os especialistas não se surpreendem quando um ataque se faz passar por uma mensagem eletrônica verdadeira, por que, então, os usuários não pensam da mesma maneira?

Para os técnicos, a desconfiança é parte de sua natureza, mas não se pode esperar que tal característica seja inerente ao usuário comum. Em vez disso, os especialistas ainda ficam surpresos e até mesmo consternados quando veem internautas sendo vítimas desse tipo de armadilha.

Mas não pode simplesmente culpar alguém que tenha sido vítima de ataque phishing só porque resolveu acreditar em uma mensagem de cancelamento de uma compra feita em um site de e-commerce, com grandes chances de que uma compra de fato tenha ocorrido em tal site.

“Esta mensagem é de alguém que conheço, portanto é segura”

Quem lida diariamente com questões relativas à segurança eletrônica sabe que não se pode descuidar de spammers e de outros tipos de ataques que encontram maneiras de burlar o campo “remetente” em uma mensagem eletrônica.

Existem diversas formas de fazer isso, mas sua mãe ou mesmo a secretária da empresa pode ter conhecimento suficiente para concluir que um e-mail que fale de uma super liquidação, por exemplo, não tenha mesmo sido enviado por alguém conhecido.

Tudo o que os especialistas dizem é que o e-mail, como uma carta comum, pode trazer escrito no envelope o nome de um remetente que conhecemos sem que esta carta tenha realmente sido enviada por tal pessoa.

“Se um amigo publica um link do orkut ou Twitter, então ele é seguro”

As redes sociais cresceram muito em termos de popularidade e as comunidades – se é que podemos chamá-las assim – de criminosos virtuais já embarcaram nessa onda também. Mesmo porque na maioria das vezes são os mesmos que, antes, enviavam emails de spam ou phishing scams. Agora, dirigem seus esforços para onde as vítimas potenciais estão: as redes sociais.

Por meio de aplicações web tais como Cross-site Scripting (XSS), mensagens podem ser publicadas em redes sociais de forma que pareçam ter sido escritas por pessoas que conhecemos. Elas parecem legítimas, quando na realidade não são.

“Estou seguro se apenas ler um e-mail, sem clicar em nada ou abrir anexos”

Bons tempos aqueles em que, para ser infectado, o usuário precisava clicar em um arquivo executável ou abrir voluntariamente um anexo que chegasse pelo e-mail para que a praga, qualquer que fosse, começasse a agir.

Mas hoje existem diversos modos pelos quais um criminoso virtual utiliza um e-mail para atingir seus objetivos sem que o destinatário da mensagem precise clicar em um link qualquer.

Isso pode ser feito, por exemplo, por meio de HTML IMG ou IFRAME tags, em combinação com técnicas de XSS a partir de um site vulnerável. Muitas destas técnicas podem ser tão perigosas quanto um arquivo executável que venha como anexo no e-mail.

O problema é que a maior parte dos usuários sequer sabe disso e pouco se ouve a indústria de segurança fazer qualquer coisa para evitar que isso ocorra.

“Clicar em uma URL mas não fazer qualquer coisa no site que abrir me deixará seguro”

Indo um pouco mais além, qual o risco que se corre em visitar um determinado endereço na web se o internauta não fizer qualquer coisa além disso ao chegar no site em questão?

Converse com qualquer especialista em segurança e você vai obter uma relação de motivos para que isso não seja feito. Só que não se pode esperar que seu filho ou sua tia tenham noção disso, e que se lembrem dessas ameaças enquanto estão passeando pela internet. E muito menos culpá-los, depois, caso sejam vítimas de um ataque qualquer.

“O browser exibe o cadeado, então o site em questão é seguro”

Há anos a indústria de segurança vem dizendo para as empresas utilizarem SSL ao construírem sua páginas na web e, agora, o que ouvimos é dizerem que a criptografia oferecida SSL, por si só, não é necessariamente segura.

Note que sob a perspectiva dos usuários, nada do que estejam fazendo está errado. Os especialistas em segurança devem reconhecer também que mesmo os internautas mais bem intencionados, vez por outra farão algo ou tomarão uma decisão a respeito de algo que os irá colocar em risco. E farão isso não porque são tolos, mas pelo fato de os especialistas não compartilharem adequadamente do conhecimento que têm a respeito das ameaças à segurança. E deveriam fazer isso, sempre!

É provável que esse seja o ponto no qual a indústria de segurança mais falha. Por anos, ela tem tentado evitar que os ataques ocorram e faz isso advertindo os usuários a não fazerem coisas tolas como clicar em links. E, quando eles fazem isso, os especialistas dizem que a culpa por terem sido vítimas é do próprio usuário do PC, mesmo quando as orientações contrárias tenham sido publicadas em artigos especializados que falam a respeito de malware, ataques phishing e XSS. E tenham sido ouvidas por um número restrito de usuários.

Ok. A indústria de segurança tem feito mais que isso. Ela tem forçado os usuários a instalarem software antivírus, firewalls, detectores de todo tipo de malware e spyware e muito mais. E a pagar por isso, na maior parte das vezes. Mas não foi capaz de fazer nada para impedir que novas ondas de ataques surjam, ano após ano.

Não quero ser mal interpretado e não estou dizendo que há uma solução simples e definitiva para essa situação. O problema é muito amplo e uma solução para esta situação não será facilmente alcançada.

Entretanto, os programas de computador, do mais básico deles – o sistema operacional – passando por clientes de e-mail, programas navegadores etc., devem ajudar os usuários a fazerem coisas em seus computadores de forma segura. Tais soluções precisam ser suficientemente espertas e resilientes para que os usuários possam fazer o que eles querem fazer, e não deixar de funcionar se algo der errado ou fugir às regras.

* Kenneth van Wy atua há mais de 20 anos no segmento de segurança, tendo trabalhado para o CERT/CC da Carnegie Mellon University e no Departamento de Defesa dos Estados Unidos.

Informática, Tecnologia

5 dicas para vencer os desafios de segurança

Deixe um comentário

Segurança da Informação é um dos assuntos mais quentes do ano para empresas, principalmente após os ataques ao Google e outras 33 empresas sofridos nos últimos meses.

Segundo Rodrigo Souza, consultor responsável por novas tecnologias da EZ-Security, a dependência de uma conexão com a internet traz a necessidade de atualização constante por parte dos profissionais da área.

“Em tempos de web 2.0, a internet está em constante mutação. Com essas mudanças, novos riscos surgem todos os dias”, afirma o especialista.

Para auxiliar a vencer os desafios de segurança impostos pela rede, Souza preparou cinco dicas para auxiliar a garantir a segurança das redes corporativas:

1 – Fuga de dados: Esse sempre foi um desafio para as corporações. O crescimento da web 2.0 e o avanço da mobilidade são fatores que já estão demandando a busca por ferramentas de DLP – Data Loss Prevention ou Prevenção da Perda de Dados -, aplicação tida como a maior aliada para combater esse inimigo.

2 – Conscientização dos usuários: Deixando de lado um pouco a tecnologia e pensando mais na cultura de segurança da informação, a conscientização dos usuários nunca deixará de ser um grande desafio. As pessoas sempre serão o elo mais fraco e hoje já é possível contar com ferramentas que ajudam a criar, manter e divulgar políticas de segurança informação, além de darem a possibilidade de avaliar a aderência da corporação a essa política.

3 – Compliance: O termo compliance está sempre em pauta no meio corporativo, antes muito restrito a indústrias. Hoje praticamente é usado em qualquer tipo de empresa, pois para se tornar referência no mercado tem que atender regulamentações, padrões e obter certificações. Atender todas essas exigências não é uma tarefa trivial. Para facilitar esse trabalho, busque ferramentas que têm a capacidade de avaliar um determinado ambiente e comparar com padrões pré-definidos, demonstrando a aderência do ambiente a esse padrão além de descrever como corrigir os pontos não aderentes.

4 – Ataques do tipo phishing: Cada vez mais sofisticados, esses ataques sempre serão uma grande preocupação. Continua valendo a velha dica de somente abrir emails de origem conhecida. Vale lembrar que devemos manter o antivírus sempre atualizado e, claro, contar com uma boa ferramenta de antispam.

5 – Gestão dos endpoints (estações de trabalho, notebooks): Segundo a SearchSecurity.TechTarget.com, 95% dos problemas de segurança podem ser resolvidos com gerenciamento, 65% dos ataques exploram ambientes mal configurados e 30% dos ataques exploram vulnerabilidades conhecidas, que podem ser resolvidas aplicando pachs, hotfixs e service packs. Devido à complexidade desse processo de gestão, é altamente recomendada a utilização de ferramentas de gerenciamento para automatizar ao máximo essas atividades dando preferência a ferramentas aderentes ao ITIL.