Arquivo de Novembro de 2009
Qual o interesse em obter suas informações? Porque elas são importantes?
Nunca lhe ocorreu de um dia, de repente, um e-mail surgir em sua caixa postal, e por mais incrível que pareça ele traz informações sobre assuntos de seu interesse, uma promoção imperdível de um produto que você pesquisa há tempos, ou algo parecido?
Há vários interessados em saber como você gasta seu dinheiro, quais são seus hábitos de consumo, tipos de websites que você visita e muito mais. Isso permite que empresas montem perfis sobre potenciais consumidores e dessa forma aproveitam as oportunidades que o mundo virtual oferece, direcionam suas camapnhas de marketing e tentam propiciar ao internauta maior interatividade e facilidade de navegação.
Websites rastreiam seu computador quando você entra navega nele, a partir daí, links acessados, dias, horários, tempo de exibição, número de clicks, tudo pode ser monitorado.
Quando você se conecta a internet, seu computador ganha um endereço chamado IP ou traduzindo Protocolo de Internet, isso permite também que dados como o país, cidade e tipo de conexão (discada ou banda larga) também sejam identificadas, além disso você utiliza um navegador para acessar os sites, isso também é identificado.
Conforme já mencionado no artigo Invasão de Privacidade I, os sites podem ou não lhe informar de que forma fazem isso, tudo depende da transparência da empresa e essa informação deve estar disponível na Política de Privacidade.
Existem ferramentas e configurações que permitem a você controlar o uso dos arquivos que permitem obter essas informações, mas isso será comentado no próximo post.
27 de Novembro de 2009 às 12:06
TrustSign
Você sabe quais são os métodos utilizados para o roubo de identidade ou informações? Se não sabe, esse artigo é para você…
A cada dia a quantidade de fraudes e roubos de identidades crescem em um número alarmante, as técnicas para isso? Muitas, vamos nos próximos posts comentar sobre algumas:
Cavalos de tróia, vírus e outros
Seu objetivo é o de roubar informações do computador da vítima, danificar arquivos (no caso de vírus) ou usar o computador para sua propagação. São muito comuns em páginas de “phishing”, ou seja, páginas falsas que aparentemente são originais.
Tomemos por exemplo a página de bancos onde você coloca suas informações, você abriu seu navegador e digitou o endereço do banco ou você recebeu um e-mail informando que o banco está recadastrando seus dados e clicou no link que havia lá? Se for a segunda opção certamente você tem um problema. Bancos e instituições sérias como Serasa, TIM, RECEITA FEDERAL e outras, não enviam e-mails com esse objetivo.
Em 99,9% dos casos fraudadores é utilizado esse recurso para roubar senhas e dados restritos dos internautas, dessa forma pessoas sem escrúpulo fingem ser empresas sérias e aproveitam da credibilidade dessas para obter benefícios financeiros.
Algumas dicas para não cair em armadilhas virtuais:
1 – Nunca clique sobre links recebidos por e-mails;
2 – Desconfie de e-mails milagrosos e de pessoas que você não conhece, na dúvida, APAGUE;
3 – Prefira sempre digitar endereço de websites;
4 – Antes de digitar qualquer dado pessoal em uma área do website, tenha a certeza de que está em uma área segura, o que pode ser feito reparando na barra de endereços do navegador, a qual deve mudar de HTTP para HTTPS, aparecendo ainda do lado direito inferior um pequeno cadeado, clique sobre ele e confira se o site em questão realmente pertence a empresa que representa e se é válido;
5 – Na dúvida, antes de qualquer ação entre em contato com o responsável pelo site e pergunte.
Certamente alguns minutos ao telefone são menos inconvenientes do que horas de dor de cabeça por um simples clique.
Nó artigo “Invasão de Privacidade II” , que será postado na próxima quarta-feira, dia 25/11, abordaremos “Quais informações os websites colhem e como eles fazem isso”.
Até lá!
19 de Novembro de 2009 às 14:38
TrustSign
Dia 05 de novembro aconteceu em São Paulo, no Hotel Intercontinental, o Fórum “Vender online para Baixa Renda”, elaborado pela ClearSale.
O Evento foi conduzido por Renato Meirelles – Especialista no segmento de baixa renda e, pela Dra. Patricia Peck - advogada de Direito Digital.
Hoje, cerca de *85% da população brasileira pertence às classe C, D e E, assim como *69% dos cartões de crédito estão nas mãos desse público. Dessa forma, as empresas que oferecem venda online precisam se adaptar, e dar melhor acesso, a esse perfil de consumidor que atualmente movimenta R$760 bilhões por ano.
Os temas do Fórum, tais como: “Estratégias cognitivas de excelência na autenticação da baixa renda”, “Evolução da baixa renda no comércio eletrônico” e “Entendendo como a baixa renda compra no comércio eletrônico”, foram abordados com riqueza de detalhes, onde trabalhou-se a sensibilidade para com as relações em geral, afinal a internet é “o mundo da confiança” e quando é entendido o perfil dos usuários e consegue-se definir com qual deles a empresa está se comunicando, é muito mais fácil as relações fluirem bem.
Os departamentos de marketing e comercial da TrustSign estavam presentes, disponibilizando informações sobre os serviços que possibilitam a troca mais segura na web e apresentando produtos de qualidade para todos que estão (ou querem entrar) nesse segmento de mercado tão atual e rentável.
*Fonte: Data Popular e Datafolha
13 de Novembro de 2009 às 10:56
TrustSign
Dia 19 de outubro recebemos um novo colaborador para somar na Equipe TrustSign. Eduardo Moreira, formado em economia pela São Judas, é o mais novo integrante da equipe Comercial da Trust.
” Comecei na TrustSign dia19/10, após ter passado por uma entrevista com a Marisa na semana anterior. Logo que entrei já gostei do ambiente, da equipe, da empresa, que tem uma ótima estrutura para o funcionário e para seus clientes, todos em perfeita harmonia.
Estou entrando neste time para somar e fazer parte de um novo desafio na Trust, tanto no lado profissional como pessoal. Agradeço a todos pela recepção e como sempre falo: O único lugar onde o sucesso vem antes do trabalho é no dicionário.” - Eduardo Moreira
10 de Novembro de 2009 às 12:17
TrustSign
Muitas vezes durante a implantação de sistemas, os desenvolvedores acabam utilizando scripts auxiliares para ajudar muitas vezes no debug, ou então gerenciar de forma mais simples algum processo junto a database, ou então simplesmente ao utilizar sistemas já prontos, como por exemplo o Joomla, acabam ficando para traz arquivos que podem ser perigosamente utilizado por atacantes.
Entre esse tipo de “sucata” acabam ficando:
- infs,
- arquivos.inc
- pastas com arquivos de backup, e etc
Apesar de modificar a configuração do Webserver para evitar que o index da pasta seja visível e adicionando um index em todas as pastas, existem diversas possibilidades de detectar estes dados e na maioria das vezes eles contém informações como senhas de base de dados, source code de aplicação ou então algum script privilegiado que foi negligenciado pelo desenvolvedor.
O ataque de Forced Browsing consiste no uso de diversas técnicas que visam enumerar entre as possibilidades disponiveis:
- Diretórios importantes e/ou que podem conter informações privilegiadas ( /admin, /install, /setup, /includes, etc);
- Arquivos de backup com códigos-fonte de aplicações ( index.php.bak, login.bak, etc);
Uma ferramenta automatizada pode varrer milhares de combinações em sua database de conhecimento de possíveis pastas. O nikto é uma delas. Ele atua como ferramenta opensource para teste de diversas vulnerabilidades em sistemas web tais como:
- Ma configuração no webserver
- Ataques de xss, sql injection, entre outros
- Ataques de Force Browsing.
A técnica utilizada para enumerar recursos escondidos no webserver é conhecida como fuzzing e é vastamente utilizada por analistas de segurança a fim de detectar vulnerabilidades até entao desconhecidas.
Basicamente a tecnica consiste de enviar requisições para o servidor web e analisar a resposta.
Quando um recurso existente é acessado, o servidor responde com a mensagem HTTP 200 OK.
Da mesma forma existem diversas outras respostas que podem evidenciar a existencia de informações interessantes tais como a mensagem HTTP 403 que refere-se a necessidade de autenticação para acessar o conteudo no webserver.
Eliminando as respostas 404 ( not found ) a ferramenta consegue minerar as respostas e separar somente as informações realmente interessantes.
9 de Novembro de 2009 às 11:12
TrustSign
Um ponto de muita atenção para internautas e empresas, o uso de senhas é um problema muito comum para todos e muito explorado por hackers e crackers.
A tendência é a de que com o passar do tempo, as senhas passem a ser trocadas por dispositivos de biometria (leitura de digitais) e leitura de íris e similares, já que o avanço extremamente rápido da tecnologia permite que senhas, algumas classificadas como complexas sejam quebradas a cada dia em um tempo menor.
A cada 18 meses em média a velocidade das CPU’s é dobrada, o que permite que programas para quebra de senhas instalados em máquinas mais potentes sejam mais ágeis, e se isso for uma constante, chegará um momento em que apenas o uso de senhas não será viável.
Tomemos um exemplo, cadeados com segredos de 3 posições usados em maletas, malas, cabos de notebook e outros. Cada uma das posições vai de 0 a 9, o que nos dá 3 posições de 10 números cada, o que totaliza 1000 possibilidades, e se uma pessoa consegue testar 10 posições por minuto, em 1 hora e 40 minutos no máximo ela conseguirá abrir o cadeado. Da mesma forma ocorre com nossas senhas, quanto mais complexa for, mais difícil será de conseguir quebrá-la.
É importante lembrarmos que a complexidade é mais importante que o tamanho, já que computadores conseguem testar milhares de senhas por minuto, então segue UMA dica muito útil e importante sobre como fazer uma senha complexa e forte de forma fácil:
Sempre misture letras maiúsculas e minúsculas, números e caracteres especiais
E como fazer isso de forma a não esquecer a senha?
Crie frases, preferencialmente sem sentido, ou associadas a algo de sua vida, por exemplo:
eu nasci dia 23 e tenho 23 anos
Traduzindo isso em uma senha teremos End23et@#A
Adotamos a primeira letra de cada palavra, sendo a primeira e última da senha em maiúsculo, os 2 primeiros números foram usados sem alteração e os 2 últimos foram usados com a tecla shift, o que os transformou em caracteres especiais.
E agora, o que não fazer:
Não use variações do login de rede, nomes e sobrenomes, apelidos, palavras de dicionário, nomes de animais, telefones, nomes de rua, números de casas, apenas números, apenas letras, datas ou combinações de datas, sequências de teclado, senhas mencionadas em livros e filmes, e claro em Blogs, e o mais importante sobre o que nunca fazer, NUNCA COMPARTILHE SENHAS!
Dessa forma você estara mais protegido contra sistemas e pessoas mal intencionadas
6 de Novembro de 2009 às 11:55
TrustSign
