Arquivo de Outubro de 2009
A história do Halloween tem mais de 2500 anos. Surgiu entre o povo celta, que acreditava que no último dia do verão (31 de outubro), os espíritos saiam dos cemitérios para tomar posse dos corpos dos vivos. Para assustar estes fantasmas, os celtas colocavam em suas casas, objetos assustadores como, por exemplo, caveiras, ossos decorados, bruxas, abóboras enfeitadas entre outros.
A comemoração sofreu mudanças, agregou-se a outras histórias e hoje temos a festa de Halloween, com doçuras ou travessuras e bailes a fantasia.
Aqui no Brasil não é costume a comemoração dessa data, a não ser na realidade dos problemas no ambiente corporativo onde certos dias parece que a bruxa está solta no escritório. O faturamento cai, as reclamações aumentam junto com as cobranças de melhores resultados e tudo vira um caldeirão de problemas.
Um desses problemas frequentemente é referente à segurança digital. Se sua empresa possui um sistema de vendas, banco de dados ou qualquer interação através da internet, certamente ela precisa se proteger de virus, mensagens maliciosas e invasões para não cair num mar de caveiras. A solução é contar com um bom sistema de segurança digital que combata as más intenções desses web vampiros.
Para isso você pode contar com a Trustsign, que oferece ao mercado soluções ágeis e sob medida nas linhas de Certificação Digital, Segurança de Websites e Selos corporativos, com o melhor custo benefício. A Trustsign garante um bom dias das bruxas para quem se protege delas!
Boa Festa !
http://www.suapesquisa.com/datascomemorativas/halloween.htm
30 de Outubro de 2009 às 13:39
TrustSign
Uma dúvida muito comum entre os internautas que fazem compras na rede.
E se bater o arrependimento? E se eu perceber que o produto não era o que eu esperava? enfim, e se eu resolver devolver o produto, posso?
O artigo 49 do Código de Defesa do Consumidor trata do Direito de Arrependimento, nele fica claro que o consumidor pode desistir do contrato, no prazo de SETE dias do recebimento do produto ou serviço, sempre que a contratação de fornecimento de produtos e serviços ocorrer fora do estabelecimento comercial, especialmente por telefone ou a domicílio (versão resumida).
Parágrafo Único: Os valores eventualmente pagos, serão devolvidos de imediato e atualizados (versão resumida).
Ou seja, quando falamos de compras pela internet, a resposta é SIM, o direito a devolução é válido e pode ser exercido.
Caso você tenha esse direito negado, o ideal a se fazer é juntar toda a documentação que comprove a compra e após dar entrada no juizado de pequenas causas, pedindo ressarcimento de todo e qualquer valor gasto (até 40 salários mínimos é o valor permitido no juizado de pequenas causas).
Comprou e não recebeu o que esperava?
Exerça seu direito, eles são valiosos para todos e garantidos por lei.
23 de Outubro de 2009 às 13:45
TrustSign
Quando falamos sobre crimes na internet, o que vem a mente de muitas pessoas é: fraudes com cartão de crédito e desvio de dinheiro de contas bancárias, mas será realmente esse o mal mais praticado? Serão apenas esses os crimes?
Na verdade o crime mais comum e que lidera ações na justiça é o crime contra a honra, ou em outras palavras “Injúria”. Crimes financeiros correspondem a aproximadamente 20% e ações de danos em e-commerces a mais 20%, cabendo os demais 60% a injúria.
Vivemos um momento onde o número de computadores e pessoas que os usam crescem rapidamente a cada dia, porém nota-se ainda um certo receio das pessoas em irem a delegacia denuncar crimes eletrônicos, talvez por imaginarem que não é possível saber quem postou o comentário malicioso no blog, na comunidade do orkut, quem enviou o e-mail anônimo ou mesmo por acharem que nossa legislação não permite a inputabilidade penal sobre casos da internet.
É importante ressaltar que nossa legislação oferece sim recursos para que os crimes eletrônicos sejam punidos, claro, precisamos também evoluir e aprovar leis como o projeto do senador Eduardo Azeredo, mas enquanto o congresso está parado para assistir ao caso Renan Calheiros, damos aqui nossa contribuição para vocês.
Saibam que vocês, usuários, empresas, entidades e organizações devem manter extremo cuidado quanto ao uso das informações e quanto a quem usa suas informações ou recursos, já que em muitos casos a co-responsabilidade é aplicada.
Veja abaixo crimes e leis que podem ser utilizadas no meio eletrônico:
Insultar a honra de alguém, por exemplo, acusação de roubo
Calúnia – Art.138 do C.P.
Espalhar boatos eletrônicos sobre pessoas
Difamação – Art.139 do C.P.
Insultar pessoas considerando suas características ou utilizar apelidos grosseiros
Injúria – Art.140 do C.P.
Ameaçar alguém
Ameaça – Art.147 do C.P.
Divulgar informações sigilosas
Divulgação de segredo – Art.153 do C.P.
Utilizar dados da conta bancária de outrem para desvio ou saque de dinheiro
Furto – Art.155 do C.P.
Enviar vírus, realizar ataques de DOS ou DDOS ou outro que destrua equipamentos ou seu conteúdo
Dano – Art.163 do C.P.
Copiar um conteúdo e não mencionar a fonte
Violação ao direito autoral – Art.184 do C.P.
Divulgar um banner para sites pornográficos
Favorecimento da prostituição – Art.228 do C.P.
Criar comunidades virtuais (fóruns, blogs, etc) para ensinar como fazer “trambiques” ou “divulgar ações ilícitas realizadas no passado, que estão sendo realizadas no presente ou serão realizadas no futuro.
Apologia de crime – Art.287 do C.P.
Envio de SPAM (remetentes falsos)
Falsa identidade – Art.307 do C.P.
Fazer cadastro com nome falso em uma loja virtual
Inserção de dados falsos em sistema de informações – Art.313-A do C.P.
Entrar na rede da empresa ou de concorrente e alterar informações sem autorização
Adulterar dados em sistema de informações – Art.313-B do C.P.
Comentar em chats, e-mails e outros de forma negativa sobre raças, religiões, etnias, etc
Preconceito ou Discriminação – Art.20 da Lei 7.716/89
Enviar, trocar fotos de crianças nuas
Pedofilia – Art.247 da Lei 8.069/90 “ECA”
Usar logomarca de empresa em um link na página da internet, em uma comunidade, em um material, sem autorização do titular, no todo ou em parte, ou imitá-la de modo que possa induzir a confusão
Crime contra a propriedade industrial – Art.195 da Lei 9.279/96
Empregar meio fraudulento, para desviar, em proveito próprio ou alheio, clientela de outrem, por exemplo, uso da marca do concorrente como palavra-chave ou link patrocinado em buscador
Crime de Concorrência Desleal – Art.195 da Lei 9.279/96
Monitoramento não avisado previamente
Interceptação de comunicações de informática – Art.10 da Lei 9.296/96
Usar copia de software sem licença
Crimes Contra Software “Pirataria” – Art.12 da Lei 9.609/98’
É isso aí, até a próxima!
* Algumas referências sobre crimes eletrônicos foram retirados do website www.pppadvogados.com.br
16 de Outubro de 2009 às 16:05
TrustSign
Neste artigo iremos ver algumas técnicas de ataques que foram relegadas ao esquecimento, porém ainda continuam muito fortes no âmbito de exploração de vulnerabilidades em aplicações web.
Muitas vezes ataques que estão fora da mídia têm sua detecção muito difícil porque os holofotes não estão sobre eles, é o típico caso do HTTP Response Splitting.
HTTP response splitting ocorre quando os dados entram na aplicação web através de uma fonte não confiável, frequentemente em um request HTTP, sendo essa manipulada de forma que os dados enviados sejam adicionados em um response Header para o usuário sem ser validada a procura de caracteres maliciosos.
O HTTP response splitting é o que chamamos de vetor de ataques e não um ataque com finalidade por si só. Quando focamos a atenção meramente na técnica, vemos que ela simplesmente retrata um atacante enviando dados maliciosos para uma aplicação vulnerável e a aplicação inclui os dados no cabeçalho de resposta.
Para montar um exploit bem sucedido, a aplicação deve permitir que os dados inseridos contenham o caractere CR (carriage return, que pode ser enviado através de %0d ou \r) e o LF (line feed, que pode ser inserido através de um %0a ou \n) diretamente no header. Estes caracteres não apenas dão ao atacante controle dos headers e o corpo da resposta como também o restante de toda a resposta que a aplicação pretendia enviar para o usuário, criando desta forma uma resposta totalmente controlada por ele.
Exemplo:
O segmento de códigos abaixo se refere ao nome do autor de um weblog, pelo campo author, através de um HTTP request e é setado em um cookie header pelo HTTP response
String author = request.getParameter(AUTHOR_PARAM);
…
Cookie cookie = new Cookie(”author”, author);
cookie.setMaxAge(cookieExpiration);
response.addCookie(cookie);
Tendo que uma string que consiste de caracteres padrão alpha-numeric, como por exemplo, “Joao Pedro” é enviada em um HTTP response incluindo este cookie tenha a seguinte forma:
HTTP/1.1 200 OK
…
Set-Cookie: author=Joao Pedro
…
Entretanto, devido o valor do cookie ser formado por dados não validados em um user input, a resposta somente irá permanecer desta forma se o valor submetido para AUTHOR_PARAM não contiver os caracteres CR e LF. Se um atacante submeter uma string maliciosa como, por exemplo,
“Hacker\r\n\HTTP/1.1 200 OK\r\n…”
A resposta HTTP pode ser quebrada em 2 responses com a seguinte forma:
HTTP/1.1 200 OK
…
Set-Cookie: author=Wiley Hacker
HTTP/1.1 200 OK
…
Claramente a segunda resposta é totalmente controlada pelo atacante e pode ser construída com qualquer header e conteúdo desejado no corpo da pagina. A habilidade de um atacante construir respostas HTTP arbitrárias pode permitir uma variedade de ataques resultantes como, por exemplo:
- Cross-user Defacement
- Cache Poisoning
- Cross-site Scripting
- Page Hijacking
Nos próximos artigos veremos como utilizar a técnica demonstrada acima para obter diversos resultados de ataques como o Cache Poison e o Cross-site Scripting.
1 de Outubro de 2009 às 17:03
TrustSign
