Discurso de Lula da Silva (excerto)

___diegophc

quarta-feira, 10 de novembro de 2010

[Riscos das Redes Sociais] As 4 (ou 5) ameaças de conteúdo

por IT Web

09/11/2010


Pesquisa da Norton revela riscos oculos de comunidades na web


.
  1- Perfil infectado

Felizmente, os responsáveis pelos grandes sites de rede social já aprenderam a bloquear, de alguma forma, o conteúdo publicável pelos usuários e o quanto eles podem subir. Mas, às vezes, alguém encontra uma brecha ou um caso que não foi considerado, que ainda permite a publicação de conteúdo malicioso. Um dos casos mais perigosos é quando é possível incluir conteúdo aleatório, remotamente. Isso permite que um meliante esconda, entre outras coisas, ferramentas de ataque virtual em um perfil, gerando um ataque maciço contra todos os que visitarem tal perfil.  Sites de mídia social também podem ser usados como plataforma de malware. Por exemplo, um binário malicioso escondido em uma foto legítima ou BASE64, encondado em um comentário estranho, podem interagir com malware. Esses últimos exemplos não representam uma ameaça direta aos visitantes de um perfil, já que ficam inativos. 
.

No entanto, eles podem ser usados por um Trojan remoto, para se atualizar. De modo geral, na maioria das vezes que vemos um perfil ou página de status infectados, eles contêm scripts ou links maliciosos, como veremos abaixo.
.
  2. Links Maliciosos

Como os usuários controlam o conteúdo de seus perfis, eles podem adicionar conteúdo malicioso às páginas. Um dos ataques mais óbvios é o redirecionamento para um site externo, completamente controlado pelo meliante. Os posts podem ser feitos deliberadamente em contas falsas especiais ou sem intenção, por meio de scripts. O redirecionamento do usuário pode ser realizado com truques de engenharia social, como links de oportunidades, ou ao incorporar conteúdo ativo como tags iframe, JavaScript ou  vídeos em Flash, que redirecionam o usuário automaticamente. O ataque de engenharia social é muito difícil de ser bloqueado pelo provedor de mídia social, porque é difícil distingui-los de posts normais. Cada link precisa ser examinado para garantir que não leve a conteúdo malicioso. Alguns provedores começaram a usar listas negras de URL, disponíveis publicamente, na tentativa de bloquear certos URLs.
.
Nós, da Symantec, lançamos recentemente, um aplicativo gratuito para Facebook, que analisa, automaticamente, os links postados em perfis ou sites de notícias. Ele usa nossa tecnologia Norton Safeweb para analisar cada link em busca de conteúdo malicioso. Alguns outros provedores de redes usam um site de redirecionamento intermediário que avisa ao usuário que ele está prestes a deixar aquele local seguro e que o site alvo não é controlado por eles. O website final pode conter qualquer coisa, desde propagandas de produtos falsos, sites de phishing e até ataques via download.
.
3. Serviços para encurtar URLs
.

Os serviços para encurtar URLs existem há anos. Hoje em dia, eles são geralmente, um nome de domínio bem curto combinado com um sistema de redirecionamento. Isso permite que um usuário transforme qualquer link longo em um URL curto, facilitando o compartilhamento, já que não existe quebra de linha e é usado com mais praticidade em mensagens curtas. Existem centenas de serviços públicos disponíveis para encurtar URL. A maioria deles é gratuita e disponível para todos.
.
Alguns foram criados em conjunto com aplicativos ou plug-ins de browser. Uma das preocupações mais óbvias com tais serviços é que eles ocultam o destino do link, tornando impossível para o usuário distinguir os links confiáveis sem saber para onde serão direcionados. Felizmente, a maioria dos serviços oferece um preview do destino ou uma página de estatísticas com o número de cliques.
,
Por exemplo, se você receber o seguinte link, encurtado pelo Bit.ly: http://bit.ly/XuX9i, você pode anexar um sinal de mais (+) ao final do URL, que irá abrir uma página de preview quando visitada, que explica mais sobre a página alvo. Nesse caso ficaria: http://bit.ly/XuX9i+.
.
Muitos dos serviços disponíveis usam listas negras públicas para evitar que links maliciosos sejam encurtados. Infelizmente, isso é geralmente uma reação e ainda permite que links maliciosos desconhecidos sejam usados em ataques. Além disso, múltiplos redirecionamentos e argumentos aleatórios anexados podem ofuscar ainda mais o link. Atualmente, o nível de monitoramento de links maliciosos por trás de URL encurtados está abaixo de 1%.
.
4. Ameaças por Script
A maioria das redes sociais oferece API que pode ser usado para acessar as funções diretamente de um script. Isso é amplamente usado por aplicativos terceirizados que, por exemplo, te permitem atualizar seu status por um smartphone ou dispositivo similar. Esse método de acesso também permite que um meliante crie scripts automáticos que colham qualquer informação disponível que queira ou que tenha worms que se multiplique por toda a rede.
.
4.1. Ataques manuais por script
Um dos tipos mais simples de ataque que já foi visto em mídias sociais é o ataque manual por script. Manual porque a vitima é convidada a copiar e executar o script manualmente. Portanto, alguns passos de interação são necessários. Um exemplo é o golpe “encontre seu gêmeo de facebook” (find you facebook twin), no Facebook. Algumas centenas de pessoas gostaram a idéia e postaram a mensagem em seus perfis. Se um usuário clica no link, ele será convidado a seguir algumas instruções. Nesse caso, as instruções eram:
.
1. Clique no botão “Curtir” (isso gera uma entrada no perfil do usuário)
2. Pressione CTRL+C
3. Pressione ALT+D
4. Pressione CTRL+V
5. Pressione ENTER
.
Cópia do Joava Script
Seguir as instruções passo a passo, copia um JavaScript oculto, com foco na barra de endereços do usuário, cola o JavaScript e o executa. Ao fazer isso, o script é capaz de usar a sessão atual para enviar mensagens a todos os amigos do usuário, pedindo que eles repitam o ciclo. Se alguém seguiu até aqui, nenhuma imagem de gêmeo é postada. O usuário é convidado a responder a algumas perguntas antes de acessar o aplicativo. As perguntas geralmente são um quiz e acabam exigindo que o usuário assine um aplicativo muito caro para telefone celular. 
.

Até onde foi nosso teste, não conseguimos concluir se realmente existe, no final das contas, um aplicativo que encontra seu irmão gêmeo.
.
Golpes parecidos se esforçam menos ainda para automatizar e esconder a ação. Após pedir que o usuário “curta” e compartilhe a mensagem, eles pedem que o usuário publique a mensagem cinco vezes, em qualquer lugar no Facebook. Depois disso, a tal pesquisa cara aparece pedindo que o usuário complete um teste tipo CAPTCHA para comprovar que ele não é um robô. 
.

Um outro ataque parecido estava ativo no Orkut, do Google, em junho de 2010. Os usuários eram tentados a conseguir créditos de celular gratuitos ao seguir algumas instruções simples. Tudo o que precisavam fazer era copiar um JavaScript oculto para a barra de endereço e executá-lo, obviamente enquanto se mantinham logados ao Orkut. Como sempre, isso resultava em mensagens postadas em nome do usuário. 
.

Uma coisa que todos os ataques têm em comum é que o usuário está espalhando a informação, voluntariamente, para seus amigos. Nenhuma vulnerabilidade do serviço é explorada. Mesmo que os truques observados tenham tentado persuadir o usuário a comprar serviços de celular, a mesma tática pode ser usada para redirecionar o usuário para websites infectados. Alguns meliantes começaram a adicionar banners de propaganda a cada passo do processo, gerando mais lucro para eles. 
.

O usuário deve se manter cético quando lhe pedirem para executar alguns comandos manuais, especialmente quando o propósito dos comandos não for claro. Deve prestar atenção, também, quando colocar endereço ou número de telefone real em qualquer lugar. Em alguns países, isso pode ser o bastante para alguém te cobrar por algum serviço. 
.
Leia mais:
.
[Risco das Redes Sociais] Roubos offline
[Riscos das Redes Sociais] O que os aplicativos podem fazer
 Segurança: 5 dicas para ajudar na escolha da tecnologia 

 ð        Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.  
 

XXXXXXXXXXXXXXXXXXXXXXX





  • [Risco das Redes Sociais] Especial completo





  • [Risco das Redes Sociais] Oito dicas para melhor uso





  • [Risco das Redes Sociais] Roubos offline





  • [Riscos das Redes Sociais] O que aplicativo pode fazer






  • <
    09/11/2010


    Regras garantem o mínimo de segurança no uso de comunidades da web


    Levantamento realizado pela Norton mostra quais são as oito regras de boas práticas para garantir a segurança no uso de redes sociais.
    .
    Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail

    1. Mantenha-se cético
    As redes sociais podem ser uma fonte útil para informações de negócio, assim como uma ferramenta válida para se manter em contato com seus amigos. Mas elas também contêm um mar de informações inúteis. Falando de forma geral, você deve tratar tudo o que vê online com alto grau de ceticismo. Não acredite em tudo o que lê, seja conselho financeiro, notícias ou dicas gratuitas sobre qualquer coisa – especialmente se elas envolvem clicar em um link para instalar algum aplicativo. Se alguém te cobrar adiantado, pode ser um golpe.
    .
    Saiba mais sobre segurança. Visite o espaço de Edison Fontes, blogueiro do IT Web

    .
    2. Verifique configurações e políticas de privacidade
    Todos os grandes sites de rede social têm regras e políticas de privacidade bem específicas, publicadas em seus websites. Tenha certeza de que você as compreende, mesmo que às vezes seja tedioso ler tudo aquilo, porque, provavelmente, elas irão explicar se suas informações serão compartilhadas com sites terceirizados ou não. Alguns serviços oferecem a opção de restringir as opções de privacidade para determinados grupos, assim como permitir o compartilhamento de fotos somente com amigos e não com todos.
    .
    Faça bom uso dessas configurações.
    .
    3. Boas senhas
    Tenha senhas boas e fortes. (A data do seu aniversário ou “123456” NÃO são boas senhas). Se possível, a senha deve conter letras e números e caracteres especiais. Caso você não seja bom em memorizar senhas complexas, use uma senha-frase com dica ou use qualquer um dos gerenciadores de senha disponíveis que podem armazená-las com segurança. Não escolha uma senha que possa ser descoberta com base nas informações que você compartilha no site. Isso inclui nome de amigos, animais de estimação ou seus famosos preferidos.
    .
    4. Proteja sua senha
    Nunca compartilhe sua senha com outras pessoas. Isso inclui serviços que prometam conseguir mais amigos ou qualquer coisa desse tipo. Não perca o controle sobre sua senha. Quando inserir a senha, tenha certeza de que se trata de um website real e não uma página phishing que apenas se parece com a original. Caso suspeite que tenha caído em um ataque de phishing ou que a sua conta foi comprometida, use outro computador para entrar no serviço original e altere sua senha.
    .
    5. Seja ponderado
    Sempre pense duas vezes antes de postar alguma coisa. Lembre-se que uma vez publicado, mesmo que apenas para um grupo fechado de amigos, você não tem mais controle sobre onde aquilo será repostado ou quem poderá ler. Essas coisas podem voltar para te assombrar no futuro. Pense se realmente precisa publicar a informação completa. Isso inclui publicar muitos detalhes pessoais, como números de telefone ou coisas relacionadas ao trabalho. Além disso, tente não encaminhar alertas de vírus ou mensagens de alerta exageradas que irão confundir mais as pessoas ao invés de ajudá-las. Seja bom e respeite os outros – não poste mensagens que difamem alguém, já que você não gostaria de receber uma mensagem assim.
    .
    6. Seja cuidadoso
    As pessoas na Internet nem sempre são quem dizem ser. A celebridade que você segue pode ser só mais um fã e o suposto colega de trabalho de outro escritório pode ser alguém investigando sua empresa. Nem todo mundo que diz ser seu amigo, é seu amigo.
    .
    7. Mantenha-se atualizado
    Tenha sempre certeza de que o software que você está usando está atualizado. Isso não inclui somente o sistema operacional e o navegador, mas também plug-ins terceirizados, como visualizadores de PDF. Instale todas as atualizações diretamente do site oficial e cheque automaticamente por novas versões disponíveis por meio do próprio software.

    8. Mantenha-se protegido
    Alguns dos ataques mais recentes são muito sofisticados e, às vezes, difíceis de serem identificados pelo leigo. Use um software de segurança abrangente para se proteger contra essas ameaças.

    . .




     

    [Riscos das Redes Sociais] O que os aplicativos podem fazer

    por IT Web
    09/11/2010

    Pesquisa divulgada recentemente pela Norton fala sobre vulnerabilidades na web


    Cuidado com o que você curte
    .
    .
    Pesquisa divulgada recentemente pela Norton apontou quais são os principais riscos envolvendo redes sociais. O IT Web separou os principais pontos abordados no estudo e preparou um especial com boas práticas de uso. Conforme o estudo, a maioria das redes sociais permite que aplicativos tenham amplo acesso a uma grande variedade de dados de usuário, por meio de diferentes interfaces. Algumas oferecem API documentado, que permite acesso específico a certas informações. Isso inclui acesso gradual, com base em permissão, para que o usuário possa decidir se quer ou não permitir o acesso a informações a tal aplicativo. .
    .
    Dependendo do tipo, o aplicativo pode se ancorar, profundamente, na rede social e se fundir a interface do usuário. De forma alternativa, o aplicativo pode interagir de maneira mais livre, exibindo algumas informações parciais em um website diferente. . O levantamento cita o exemplo do Facebook, que tem dois tipos básicos de aplicativo. O primeiro são os plug-ins sociais, que permitem a integração de funções básicas da rede com websites externos. O aplicativo Canvas interage diretamente com o perfil, pode enviar mensagens de atualização ou abrir uma nova página, que, por sua vez, pode conter praticamente qualquer coisa. .
    .
    Curtir O botão “Curtir”, que permite que a pessoa informe aos outros sobre a existência de uma página, é um exemplo de um plug-in social. Os outros aplicativos podem de certa forma, carregar códigos de websites remotos e executá-los. . Em 2010, o Facebook mudou seu API base e o processo de autenticação, tornando mais visível para o usuário quais dados o aplicativo tem permissão de processar. Antes de acessar qualquer informação particular de uma conta, o aplicativo precisa ter a devida permissão do usuário. Dependendo da informação necessária, existe alguma graduação disponível para a ação permitida. Assim que a permissão for concedida, o aplicativo pode fazer o que quiser com a informação. . O usuário pode revogar os privilégios e desabilitar o aplicativo a qualquer momento, direto no menu de configuração de aplicativos, mas todas as informações previamente acessadas podem já ter sido transferidas. . 
    .
    Confirmação de identidade Desde junho de 2010, o Facebook requer que qualquer novo desenvolvedor confirme sua identidade, seja por meio de um número válido de celular ou de um número de cartão de crédito. . Isso é feito a fim de acabar com os desenvolvedores anônimos que registravam contas falsas para aplicativos maliciosos. Infelizmente, isso não impossibilita a criação de contas anônimas com número de telefones anônimos, existentes em alguns países. . A lista a seguir seleciona algumas coisas a que um aplicativo pode ter acesso:
    • Informações públicas – Isso inclui nome de usuário, foto de perfil, lista de amigos e outras informações listadas como públicas no perfil.
    • Informações de perfil – Isso inclui qualquer informação adicional, como data de aniversário, filmes e livros favoritos etc.
    • E-mail – Isso significa o envio direto de emails à conta registrada.
    • Posts no feed de notícias – Isso permite que o aplicativo leia as mensagens postadas.

    • Informações de família e relacionamento.
    • Fotos e vídeos.
    • Informações de amigos – Incluindo aniversários e detalhes
    • Dados a qualquer momento – Isso significa que o aplicativo tem acesso aos dados mesmo quando o usuário não está conectando ou quando não está usando o aplicativo.
    • Posts no mural – Adicionar novos posts em nome do usuário.
    Recentemente, inclusive, a rede social confirmou quebras de privacidade em seus aplicativos, os quais, informou, ter corrigido. .
    .
    Leia mais: 
    Congresso pede esclarecimento sobre falha no Facebook
    .
    Tamanho
    Da Fonte


    Segurança: 5 dicas para ajudar na escolha da tecnologia

    por InformationWeek
    21/10/2010

    Quando se trata de garantir que o usuário é quem ele diz ser, apenas uma ideia é compartilhada: senha não é o bastante

    Quando se trata de garantir que o usuário é quem ele diz ser, apenas uma ideia é compartilhada por todos os profissionais de segurança: senha não é o bastante. Apenas 28% dos profissionais de TI e segurança que entrevistamos consideravam eficiente o uso de senhas fortes, de acordo com a pesquisa sobre Segurança Estratégica, da InformationWeek Analytics
    .
    Quer ficar por dentro de tudo o que acontece na comunidade de TI e telecom? Assine a nossa newsletter gratuitamente e receba, todos os dias, os destaques em sua caixa de e-mail

    Mas, o que pode ser feito em relação a isso? Ai é que está a questão. Parte do problema é o número de opções. Fortalecer autenticação geralmente significa adicionar um segundo fator (algo que você tem) a uma senha forte existente (algo que você sabe). E o que esse segundo fator poderia ser? Fornecedores estão considerando de tudo um pouco, desde geradores de números aleatórios e tokens, até verificação biométrica e ligações por voz. Sua escolha depende do quão infalível sua autenticação precisa ser – e do quanto você pode gastar com isso. 

    .
    Avaliação amplificada

    A melhor forma de criar uma estratégia de autenticação segura é fazendo uma avaliação de risco amplificada que leve em conta quão sigilosos são os dados, seu potencial de exposição a usuários não autorizados e qualquer regulamentação aplicável.
    Apresentamos abaixo cinco questões que te ajudarão no início. 
    1. O que precisa de proteção? Você quer proteger sua rede corporativa, um servidor de banco de dados sigilosos ou um website voltado para clientes? Sua avaliação de risco deve analisar o impacto que o acesso não autorizado teria sobre esses sistemas.
    2. Quem irá acessar os recursos protegidos? Todos os seus funcionários ou clientes e empreiteiros também terão acesso? Conhecer a população é importante.
    3. Você gerencia as estações de trabalho? Os usuários com acesso aos sistemas o farão somente por meio de PCs gerenciados pela sua área de TI? Se sua resposta for “sim”, você não vai precisar de um software para as máquinas de clientes com assinatura ou certificado externo. No entanto, para clientes e parceiros, a resposta é quase sempre “não”, então te restam opções que não exigem mexer no computador, como nome de usuário e senha, autenticação com base de conhecimento e repetição de mensagem.
    4. Onde os usuários estarão quando acessarem áreas protegidas? Eles estão todos no mesmo escritório ou espalhados por ai? Se eles estiverem no mesmo prédio, o risco é menor, mas geralmente não é o caso.
    5. Quais são as necessidades futuras de sua empresa? Você irá agregar novos serviços, adquirir negócios ou contratar mil novos funcionários? É difícil prever as necessidades futuras, mas escolher tecnologias de autenticação escaláveis e baseadas em padrões é importante para garantir que se está preparado para o que o futuro lhe trouxer.
      John Sawyer, DarkReading.com
    Opções de autenticação
     
     
     
    Nível de segurança*
    Tempo necessário para gerenciar
    Custo da implementação
    Senha
    1
    Médio para Baixo
    Baixo
    Conhecimento de base
    1
    Médio para Alto
    Baixo
    Token de senha de único uso
    4
    Médio
    Médio
    Lista de senha de único uso
    4
    Médio para Baixo
    Médio
    Certificado digital
    4
    Médio para Alto
    Médio para Alto
    Cartão com grade de segurança (Grid card)
    3
    Baixo
    Baixo
    Out-of-band
    4
    Médio
    Médio
    Biométrica
    2 - 4
    Médio
    Alto
    Localização geográfica
    2
    Baixo
    Baixo
    Assinatura de Dispositivo
    3
    Baixo para Médio
    Baixo
    Baseado em risco
    3
    Baixo
    Baixo
    Repetição de imagem
    1
    Baixo
    Baixo
    Repetição de mensagem
    1
    Baixo
    Baixo

    .
    *Nível de segurança é o nível de confiança na validação da identidade que um usuário apresenta para um sistema, sendo o nível 1 o mais baixo e o 4, o mais alto. Dados:   “Guia de E-Authentication”, do Office of Management and Budget (OMB 04-04); “Guia de Autenticação Eletrônica”, do Instituto Nacional de Padrões e Tecnologia, dos EUA (NIST SP 800-63) e outras diversas publicações governamentais e industriais. 
    .
    .

    Sem comentários: